勒索软件防范应对指南

1勒索软件防范应对指南二、感染勒索软件应急响应操作流程（2）要做好网络隔离，阻止勒索软件横移带来的进一步危（8）要全面加固系统，及时修改密码，修复漏洞，防止被234服务器或主机感染勒索软件后，办公文档、照片、视频等下面为感染勒索软件后，几种典型的文件后缀名被篡改或56备的WiFi、蓝牙，断开设备连接的无线网络，禁用网卡（包括响应结束，加固完成后，再接入网络。如果确实因业务制策略，对于大量设备，可修改网络设备ACL配置达到网络层隔离的目的。附录E提供了常见网络设备配置ACL访问控制策7（1）若发现设备中主要的工作或个人文档还未被加密，则（2）若发现数据文件均已被加密，则建议保留现场，不要（三）勒索软件攻击事件分析感染勒索软件最明显的症状是主机桌面被篡改，大量文件8需要注意的是，应急排查时勒索软件可能仍在运行，因此步骤1：截图取证。发现设备感染勒索软件后，第一时间9步骤2：判断勒索软件家族类型。利用空移动存储设备从可上传的信息包括：勒索信、加密文件、勒索软件留下的邮箱、来源国内https://stopransomwa/国外https://id-ransomware.malwa/rahttps://www.nomoreransom.or件后缀，并按照修改时间（ModifiedTime）排可以通过查看勒索加密前新增的可疑文件和查看进程两种如果勒索软件还在运行中，则可以在进程列表中找到它。使用文件搜索工具Everything搜索被加密文件，比如文原始文件可能会比较大，压缩后会通过前面查找勒索样本步骤，如果发现了勒索样本或其它可以利用计算机管理功能检查是否存在异常用户、陌生用在命令提示符中使用netuserUserName来查看用户b）使用PChunter等工具查看进程信息，检查是否存在联系专业的安全企业或恶意代码逆向分析人员对前面收集查看感染设备所在网络环境的网络拓扑、业务逻辑架构、对潜在影响区域内的信息系统进行排查，重点排查信息系制关键生产设施（例如域控主机然后通过特定方式（例如域策略、PsExec远程连接执行等）在内网中传播勒索软件。在入侵过程中，攻击者会使用很多类似APT组织的渗透攻击手段，a）在域控主机C:\Windows\SYSVOL\domain\scripts目录被攻击单位可联系专业应急响应团队或者专业安全机构团nn份有限公司公司64n（四）风险处置与安全加固可以通过手动或杀毒工具清除病毒，但由于很多勒索软件对于一些不具备自动传播功能的勒索软件，可以手动清除很多安全厂商提供了杀毒软件，有的还提供了勒索软件专➢彻底删除发现的可疑程序、病毒文件。如果发现可疑文对于Web系统，可利用安全设备的弱口令发现功能检测弱典，对操作系统的SSH、RDP、SMB、MySQL、Oracle、Redis等12个字符，采用大小写字母、数字、特殊符号至少两种以上的获取系统的漏洞情况；二是手动渗透测试，使用cmd输入命令WindowsSMBv1远程代码执行Windows远程桌面服务（RDP）远程代码执洞WindowsSMBv3远程代码执行权用户访问关键信息系统，降低关键信息系统的暴露面；部署网络侧企业内部可以加强网络安全域的隔离以及同网段内令具体可以参考Windows:https://lolbas-project.github.io（五）数据恢复加密数据恢复方式主要有两种：一是利用备份数据恢复；信息系统和数据。若备份数据也被勒索软件加密，可利用数据来源国内https://stopransomwa/国外https://id-ransomware.malwa/rahttps://www.nomoreransom.or解密前可先将勒索信息文件和待解密文件拷贝到虚拟机环来源国内https://stopransomwa/fangl国外具/ransomware-de/en-us/ransomware-de/en/decrypt/blog/labs/thttps://id-ransomware.malwarehunterteam具/enterprise/en-ustools/ransomware-decryp/portal_k/ransomware-dec不建议向攻击者支付赎金，一则间接助长了攻击者气焰，（六）上报主管部门发生重要勒索攻击事件后，事发单位应按照国家相关规定勒索软件(Ransomware)，又称勒索病毒，是指以加密数据、锁定设备、损坏文件为主要攻击方式,使计算机无法正常使用或（1）加密本地文件：遍历本地磁盘文件，加密系统文件以外的大部分后缀文件，例如数据库文件、Office文档、图片、（2）加密局域网共享设备：扫描感染设备相同网段中的网（3）加密磁盘：直接对磁盘进行整体加密或加密分区表数（4）窃取数据：在部署勒索软件之前，窃取内网中重要数（5）内网渗透：勒索软件攻击者常常在攻陷一台设备后，（6）上传隐私信息：上传用户国家/地区、IP地址、安装（7）删除备份数据：勒索软件常常通过删除备份数据、禁Defender实时保护功能，或通过Powershell脚本命令关（三）钓鱼邮件、垃圾邮件恶意代码伪装在邮件附件中，格式多为Word文档、Excel（四）利用系统与软件漏洞攻击（五）网站挂马（六）僵尸网络网络犯罪分子将僵尸网络的访问权限以出租或直接出售的形式络来发起一个大规模的垃圾邮件活动。2019年起僵尸网络开始（七）软件供应链攻击软件供应链攻击是指利用软件供应商与最终用户之间的信（八）移动介质勒索软件存在于移动介质中，如U盘和移动硬盘等载体，间无无高无无高MS17-010高WindowsXP、Windows高Win2003、WinXP、Win7、WWindowsALPC无高高高安全的第三方库。WeblogicWLS高安全的第三方库。Apache高Apache高无高证无高高高高Nexus无高NexusRepositoryMa态的功能，用户需要在72小时之内通过比特币、MoneyPak或GameoverZeuS僵尸网络遭到执法机关关闭后被分离出来。司法Phobos勒索软件家族是近期活跃度非常高的勒索软件，该勒索软件家族于2019年初被发现，早期由于该家族的代码与2021年2月，该勒索软件攻击了立讯精密工业股份有限公下次引导时加密NTFS文件系统文件表，完全阻止系统引导进GlobeImposter勒索软件出现于2017年，国要求院方必须在六小时内为每台感染机器支付1比特币赎金才GandCrab勒索软件在2018-2019年时非常活跃，执行过程流，索要400-1200美元不等的赎金运行过程中使用反射式DLL注入技术将勒索程序注入到内存中加密除.exe、.dll、.sys、.lnk等扩展名外的所有文件。值得（ScottishEnvironmentProtectionAgency，简称SEPA并在十、REvil/SodinokibiREvil（又称Sodinokibi）组织善于使用Web组件Nday漏洞和PulseSecureVPN漏洞对相关企业进行攻击，该团伙是勒索产组织。该组织和GandCrab组织有着千丝万缕的关系，分析人2020年5月，服务于全球影视娱乐巨星的一家纽约律师事务所成为REvil病毒攻击的受害者，包括LadyGaga、麦当娜等锁超市之一的Coop受此供应链勒索攻击事件影响被迫关闭全国组织在黑客论坛上非常活跃，拥有RaaS（勒索软件即服务）模算法加密文件；可以感染Windows和Linux系统。DarkSide采不支付赎金就将其数据公开。DarkSid通过收集有关受害者的信息，据对DarkSide勒索软平均业务停机时间为5天。DarkSide勒索软件的攻击者已经建Pipeline遭到网络攻击，该起攻击导致美国东部沿海主要头东芝的一家子公司承认遭受网络安全攻击，据报道是由成为首家同时使用加密文件和窃取用户数据两种手段进行勒索数据，这其中包括：中国搜狗、佳能、DailyThermetrics、Cognizant、STEngineering等知名公司。该组织由于不守信导致其名声受损而宣布停止运营Maze勒索软件家族。但经过跟踪发现该组织并非真正关闭Maze而是改名换姓转为投递egregor圾邮件活动和僵尸网络以及漏洞利用工具包进行分发，通过CobaltStrike和PowerShellEmpireGRIMSPIDER幕后操作运营，GRIMSPIDER是一个网络犯罪集团，至今一直活跃。2020年数个大型工控企业包括钢铁、采矿、工业建筑等行业受到Ryuk勒索软件攻击，导致企业部分服务器瘫悉，Ryuk黑客组织的大多数收入，是通过Binance和Huobi的Ryuk组织以攻击美国医疗保健行业的倾向而出名，该团伙主要针对美国和加拿大的组织。它最出名的攻击行动是在2020谋求外部合作以获取更大的利益。在安全研究人员于2021年22021年，据外媒报道，保险巨头安盛集团在泰国、马来西亚、中国香港和菲律宾的分公司遭到了勒索软件网络攻击，压文件，运行后释放勒索软件程序并执行。DoppelPaymer勒索勒索信内容和支付赎金网页较为相似，故怀疑DoppelPaymer勒CTBGMX工厂遭受了该组织的攻击，该组织声称加密了大约序号间密1“永恒之蓝”漏是2无否3无是4钓鱼邮件、捆绑软件、僵尸播可解密5永恒之蓝漏洞、种暂时无法解密，6Necurs僵尸无否7无否8无否9无RDP爆破、钓无否RDP爆破、钓无否是钓鱼邮件、恶意软件、RDP用是否垃圾邮件、僵尸网络、漏洞利用工具包、解无RDP爆破、垃无否CVE-2021-40444ntNightmare漏洞里提供常见的网络设备建议的配置方法，仅供网络管理人员参Juniper设备配置示例：setfirewallfamilyinetfilterdeny-WannaCrytermdeny445fromprotocoltcpsetfirewallfamilyinetfilterdeny-WannaCrytermdeny445fromdestination-port445setfirewallfamilyinetfilterdeny-WannaCrytermdeny445thendiscardsetfirewallfamilyinetfilterdeny-WannaCrytermdefaultthenaccept#在全局应用规则setforwarding-optionsfamilyinetfilter#在三层接口应用规则setinterfaces[需要挂载的三层端口名称]unit0familyifilteroutputdeny-WannaCrysetinterfaces[需要挂载的三层端口名称]unit0familyi华三（华三（H3C）设备配置示例：新版本:aclnumber3050ruledenytcpdestination-port445interface[需要挂载的三层端口名称]packet-filter3050inboundpacket-filter3050outboundaclnumber3050rulepermittcpdestination-port445trafficclassifierdeny-WannaCryif-matchacl3050trafficbehaviordeny-WannaCryfilterdenyqospolicydeny-WannaCryclassifierdeny-WannaCrybehaviordeny-WannaCry#在全局应用qosapplypolicydeny-WannaCryglobalinboundqosapplypolicydeny-WannaCryglobaloutbound#在三层接口应用规则interface[需要挂载的三层端口名称]qosapplypolicydeny-WannaCryinboundqosapplypolicydeny-WannaCryoutbound华为设备配置示例：ttsetfirewallfamilyinetfilterdeny-WannaCrytermdeny445fromprotocoltcpsetfirewallfamilyinetfilterdeny-WannaCrytermdeny445fromdestination-port445setfirewallfamilyinetfilterdeny-WannaCrytermdeny445thendiscardsetfirewallfamilyinetfilterdeny-WannaCrytermdefaultthenaccept#在全局应用规则setforwarding-optionsfamilyinetfilteroutputdeny-WannaCrysetforwarding-optionsfamilyinetfilterinputdeny-WannaCry#在三层接口