1.背景
勒索病毒是一種惡意軟件����,其目的是通過加密受害者的文件或鎖定計(jì)算機(jī)系統(tǒng)來勒索錢財(cái)。通常文件會(huì)統(tǒng)一一種后綴����,并且會(huì)在每個(gè)文件夾中生成txt、html����、hta格式的勒索信,勒索信會(huì)告知您的計(jì)算機(jī)已被加密�����,需支付比特幣到比特幣錢包中方可獲取解密密鑰或恢復(fù)訪問權(quán)限���,并且會(huì)留下黑客的郵箱比特幣錢包地址��,便于受害者聯(lián)系及支付贖金���。勒索病毒的攻擊過程依賴于加密���,加密文件會(huì)生成一對密鑰。其中之一是解密密鑰�,它成為訪問文件的唯一方法��,受害者通過支付贖金的方式才能獲取解密密鑰�����。然而���,支付贖金并不一定能獲得解密密鑰或工具,例如攻擊者言而無信��,選擇“撕票”���,在收到贖金后銷聲匿跡�,或者提供的密鑰無法正常解密�。因此��,我們在此分享關(guān)于勒索病毒防范和處理的相關(guān)指南�,希望能夠幫助大家更好地應(yīng)對這類威脅���。2. 勒索病毒常見傳播途徑
2.1 遠(yuǎn)程桌面協(xié)議(RDP)暴力破解
RPD暴露在互聯(lián)網(wǎng)弱口令使得攻擊者可以輕易地通過暴力破解進(jìn)入目標(biāo)系統(tǒng)�����。成功獲取RDP訪問權(quán)限后,攻擊者可以直接操作系統(tǒng)�,無需繞過其他復(fù)雜的安全措施。由于RDP通常用于遠(yuǎn)程管理服務(wù)器和計(jì)算機(jī)�����,攻擊者可以輕松地在網(wǎng)絡(luò)內(nèi)傳播勒索病毒�。2.2 漏洞利用
很多企業(yè)在使用某OA及財(cái)務(wù)系統(tǒng)后,未定期做漏洞掃描��,導(dǎo)致軟件系統(tǒng)存在多個(gè)漏洞存在��,從而使得攻擊者利用Nday輕松獲取系統(tǒng)權(quán)限�����,個(gè)別攻擊者會(huì)利用高危漏洞被披露后的短時(shí)間內(nèi),利用1Day對暴露于網(wǎng)絡(luò)上并存在有漏洞未修復(fù)的機(jī)器發(fā)起攻擊�����。2.3 釣魚郵件
攻擊者會(huì)對目標(biāo)用戶進(jìn)行打點(diǎn)信息收集�����,獲取到目標(biāo)用戶的郵箱信息后�����,進(jìn)行偽造并批量發(fā)送�,往往目標(biāo)多為財(cái)務(wù)人員及高管,通常發(fā)送的附件多為“人社部發(fā)〔2023〕161號(hào)文:公司與個(gè)人繳納比例最新調(diào)整”�����、“發(fā)票.rar”等進(jìn)行命名���,配合話術(shù)使目標(biāo)用戶降低防備心從而點(diǎn)擊運(yùn)行附件����,最終攻擊者通過釣魚獲取受災(zāi)主機(jī)權(quán)限直接運(yùn)行勒索病毒文件,將受災(zāi)主機(jī)數(shù)據(jù)全部加密�����。2.4 數(shù)據(jù)庫入侵
用戶不當(dāng)配置數(shù)據(jù)庫后,導(dǎo)致暴露在互聯(lián)網(wǎng)����,攻擊者可利用端口掃描+弱口令爆破結(jié)合進(jìn)行攻擊,從而獲取數(shù)據(jù)庫賬號(hào)密碼�����,使用SQL命令獲取服務(wù)器權(quán)限�����。3. 勒索病毒的危害
3.1 數(shù)據(jù)丟失
勒索病毒會(huì)加密受災(zāi)用戶計(jì)算機(jī)系統(tǒng)的大部分文件���,導(dǎo)致無法正常使用和訪問����,攻擊者通常使用不同類型的加密��,從對稱加密(如 AES 或 DES)到需要公鑰和私鑰的非對稱加密再到結(jié)合兩者的雙重加密���。勒索病毒攻擊正變得越來越頻繁和復(fù)雜�,其目的是防止任何沒有密鑰的反向操作���。因此如果受災(zāi)用戶沒有做數(shù)據(jù)備份�����,并且選擇不支付贖金或支付贖金后仍未獲得解密密鑰��,那么數(shù)據(jù)可能會(huì)永久丟失��。案例:英國國家醫(yī)療服務(wù)體系(NHS)近日透露�,24年6月初Synnovis醫(yī)療組織遭到俄羅斯勒索軟件組織“麒麟”(Qilin)攻擊,導(dǎo)致倫敦多家醫(yī)院受到影響���,由于數(shù)據(jù)被加密且未做備份���,被迫取消了數(shù)百項(xiàng)手術(shù)計(jì)劃和門診預(yù)約。3.2 業(yè)務(wù)中斷
當(dāng)勒索病毒感染企業(yè)的關(guān)鍵系統(tǒng)(如生產(chǎn)系統(tǒng)�����、財(cái)務(wù)系統(tǒng)等)時(shí)��,這些系統(tǒng)服務(wù)等應(yīng)用會(huì)被強(qiáng)制停運(yùn)��,導(dǎo)致系統(tǒng)無法正常訪問和使用����,直接影響企業(yè)的正常運(yùn)營。案例:美國醫(yī)療保健巨頭阿森松醫(yī)院(Ascension)24年5月中旬遭遇了Black Basta勒索軟件團(tuán)伙攻擊����,導(dǎo)致旗下140個(gè)醫(yī)院和40個(gè)高級(jí)護(hù)理機(jī)構(gòu)運(yùn)營中斷,電子健康記錄系統(tǒng)��、在線醫(yī)療平臺(tái)�、電話系統(tǒng)、配藥系統(tǒng)等重要信息基礎(chǔ)設(shè)施嚴(yán)重癱瘓��,該醫(yī)院已經(jīng)聘請了第三方專家團(tuán)隊(duì)協(xié)助進(jìn)行調(diào)查和補(bǔ)救��,再次期間只能通過手動(dòng)操作及紙質(zhì)記錄方式向患者提供必要的線下服務(wù)���。3.3 經(jīng)濟(jì)損失
因勒索病毒加密復(fù)雜����,很多受災(zāi)用戶被迫支付贖金以恢復(fù)對其數(shù)據(jù)的訪問���。贖金金額通常較高�,從幾千美元到幾百萬美元不等��;但部分攻擊者言而無信,收到贖金后不提供密鑰或者已讀不回��,也存在收到贖金后將竊取的數(shù)據(jù)二次交易或公開��,更加劇了損失��。案例:24年2月醫(yī)療技術(shù)公司Change Healthcare遭受勒索病毒攻擊�����,攻擊團(tuán)伙是一個(gè)總部位于俄羅斯的勒索軟件團(tuán)伙��,稱為ALPHV���。該組織本身聲稱對這次攻擊負(fù)責(zé)����,聲稱它竊取了超過六TB的數(shù)據(jù)����,包括“敏感”醫(yī)療記錄。本次攻擊使母公司UnitedHealth Group(UHG)花費(fèi)了超過8.72億美元來應(yīng)對這次攻擊帶來的后果���,這些成本的一部分涉及向數(shù)千家供應(yīng)商提供加速付款和無息����、免費(fèi)貸款���。另一部分專門用于事件響應(yīng)和從頭開始完全重建Change Healthcare的系統(tǒng)���。事后,ALPHV團(tuán)伙收到贖金后銷聲匿跡����,沒有按照約定將部分贖金分給負(fù)責(zé)竊取數(shù)據(jù)的附屬機(jī)構(gòu),導(dǎo)致該附屬機(jī)構(gòu)RansomHub再次索要贖金���,未果后公開了部分?jǐn)?shù)據(jù)并有意交易其余數(shù)據(jù)����。3.4 聲譽(yù)損失
如果客戶數(shù)據(jù)被加密或泄露����,客戶對企業(yè)的信任度會(huì)下降,導(dǎo)致客戶流失和業(yè)務(wù)機(jī)會(huì)減少�,并且勒索病毒攻擊通常會(huì)引起媒體廣泛關(guān)注,負(fù)面報(bào)道會(huì)損害企業(yè)的品牌形象�����,特別是對知名品牌而言。案例:20年8月初著名數(shù)碼攝像機(jī)廠商佳能(Canon)遭受的Maze勒索病毒攻擊�����,導(dǎo)致超過 10TB 的數(shù)據(jù)被盜�����。即使佳能第一時(shí)間官方提供解決方案但客戶對佳能已經(jīng)產(chǎn)生了質(zhì)疑��,導(dǎo)致信任度下降�����,并且由于大量負(fù)面新聞報(bào)道也影響了佳能的市值和在市場的地位����。4. 全流程教程
4.1 防止擴(kuò)散
4.1.1 隔離感染的設(shè)備
若發(fā)現(xiàn)自己的電腦或者服務(wù)器已被感染勒索病毒,需立即斷開感染設(shè)備的網(wǎng)絡(luò)連接���,包括有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)�����,以防止該病毒橫向擴(kuò)散����。從受感染的設(shè)備(如PC�����、服務(wù)器)上拔掉網(wǎng)線�,立即切斷其與網(wǎng)絡(luò)的物理連接。如果設(shè)備通過Wi-Fi連接��,關(guān)閉設(shè)備上的Wi-Fi連接功能���,也可以在無線訪問點(diǎn)或無線控制器上將受感染設(shè)備的MAC地址列入黑名單�����,禁止其連接���。4.1.2 通知相關(guān)人員和部門
在隔離完成后,立即通知公司相關(guān)人員及部門同步感染情況��,讓部門調(diào)派人員進(jìn)行下一步處置操作�����,部門收到消息后,緊急同步給公司所有人員��,讓后續(xù)其他受災(zāi)用戶及時(shí)聯(lián)系部門��。4.1.3 阻止進(jìn)一步傳播
方法一:通過交換機(jī)斷開網(wǎng)絡(luò)連接若公司有部署交換機(jī)�����,管理員可登錄到交換機(jī)管理界面(通常是通過Web界面或命令行界面)�����,在交換機(jī)管理界面中���,找到相應(yīng)的端口并將其禁用�����。方法二:通過本地防火墻封鎖網(wǎng)絡(luò)端口在防火墻上封鎖常用的勒索病毒傳播端口(如SMB端口445��、3389遠(yuǎn)程桌面端口等)�,可根據(jù)所中招的勒索病毒進(jìn)行信息收集確認(rèn)后進(jìn)行封禁,在防火墻管理界面中添加規(guī)則�����,阻止特定端口的入站和出站流量�����。方法三:掃描企業(yè)所有設(shè)備是否中招若公司有部署相關(guān)網(wǎng)絡(luò)設(shè)備�,可以掃描網(wǎng)絡(luò)中的其他設(shè)備�����,檢查是否有其他設(shè)備受到感染��。4.1.4 關(guān)停勒索病毒軟件
windows系統(tǒng)可查看任務(wù)管理器中CPU占有率最高的程序定位是否為勒索病毒程序�,同時(shí)按下【Ctrl + Shift + Esc】鍵或右鍵單擊任務(wù)欄的空白處選中任務(wù)管理器。
4.2 數(shù)據(jù)備份
當(dāng)發(fā)現(xiàn)系統(tǒng)感染了勒索病毒后�,需立即進(jìn)行數(shù)據(jù)備份可以確保未被加密或未受影響的數(shù)據(jù)得到保護(hù)。這可以防止勒索病毒進(jìn)一步擴(kuò)散和加密更多的文件���,對數(shù)據(jù)進(jìn)行備份也是為了確保后續(xù)恢復(fù)期間出現(xiàn)問題可以及時(shí)回滾�����。4.2.1 Windows Server Backup
打開服務(wù)器管理器���,點(diǎn)擊“添加角色和功能”�,勾選Windows Server Backup對其進(jìn)行安裝��,根據(jù)需求對其進(jìn)行全備份����、增量備份或差異備份,備份完成后可以在備份目標(biāo)看到相應(yīng)的備份文件����。4.2.2 第三方軟件進(jìn)行備份
可利用微PE及DiskGenius軟件相結(jié)合進(jìn)行數(shù)據(jù)備份,使用微PE制作U盤后�,重啟進(jìn)入BIOS,通過DiskGenius軟件選擇需要備份的硬盤數(shù)據(jù)進(jìn)行備份4.2.3 快照虛擬機(jī)
VMware可以選擇拍攝快照進(jìn)行數(shù)據(jù)備份��,顧名思義將此刻的的系統(tǒng)狀態(tài)進(jìn)行存檔(包含了所有的內(nèi)容)���,后續(xù)想要返回這個(gè)時(shí)間節(jié)點(diǎn)點(diǎn)擊快照管理器此刻存檔點(diǎn)即可恢復(fù)��。
4.3 安全加固項(xiàng)檢查
4.3.1 啟動(dòng)項(xiàng)
方法一:運(yùn)行框
【W(wǎng)in+R】打開運(yùn)行框��,輸入【msconfig】命令�����,在【系統(tǒng)配置】框中單擊【啟動(dòng)】選項(xiàng)卡��,可查看啟動(dòng)項(xiàng)的詳細(xì)信息�。
方法二:文件夾
訪問以下路徑可查看啟動(dòng)項(xiàng)目錄下是否非業(yè)務(wù)程序在該目錄下。
C:\Users\用戶名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
方法三:注冊表
【W(wǎng)in+R】打開運(yùn)行框�,輸入【regedit】命令打開注冊表,可通過注冊表查看開機(jī)啟動(dòng)項(xiàng)是否正常����,尤其需要注意以下三個(gè)注冊表����,檢查右側(cè)是否存在異常的項(xiàng)目并清除殘留病毒或木馬
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
4.3.2 計(jì)劃任務(wù)
方法一:運(yùn)行框
【W(wǎng)in+R】打開運(yùn)行框,輸入【control】命令打開控制面板�,點(diǎn)擊任務(wù)計(jì)劃程序,查看計(jì)劃任務(wù)屬性�,便可以發(fā)現(xiàn) 木馬文件的路徑。
方法二:schtasks命令
通過cmd命令框輸入schtasks命令���,通過命令行界面靈活管理Windows計(jì)劃任務(wù)
4.3.3 網(wǎng)絡(luò)連接
端口連接情況
查看服務(wù)器端口連接情況���,判斷是否有遠(yuǎn)程連接��、可疑連接��,通過以下命令可以查看
netstat -ano |more
若不確定IP是否可疑��,可結(jié)合微步對IP進(jìn)行信息查詢程序定位
如若確定可疑IP和端口��,可使用tasklist命令進(jìn)行進(jìn)程定位�,快速確認(rèn)該程序是什么
tasklist /scv|findstr "PID"
在確定程序名稱后����,可使用everything進(jìn)行程序文件定位可疑進(jìn)程
【W(wǎng)in+R】打開運(yùn)行框,輸入【msinfo32】命令打開系統(tǒng)信息�,依次點(diǎn)擊 "軟件環(huán)境 -- 正在運(yùn)行任務(wù)",可以查看到進(jìn)程的詳細(xì)信息�����,比如進(jìn)程路徑���、進(jìn)程ID��、文件創(chuàng)建日期以及啟動(dòng)時(shí)間等����。
4.3.4 賬號(hào)排查
方法一:net user命令
通過cmd命令框輸入net user,查看系統(tǒng)中創(chuàng)建的用戶���。
DefaultAccount:這是Windows 10中的一個(gè)預(yù)設(shè)賬戶�����,通常在新安裝的系統(tǒng)中會(huì)出現(xiàn)�。它在用戶首次登錄前提供了一個(gè)臨時(shí)的�、有限的用戶體驗(yàn)。這個(gè)賬戶通常不顯示在登錄屏幕上�����,并且沒有密碼保護(hù)���。WDAGUtilityAccount:這是Windows Defender Application Guard (WDAG) 的服務(wù)賬戶。WDAG是Windows 10的一個(gè)安全功能����,允許用戶在隔離的環(huán)境中運(yùn)行不受信任的應(yīng)用程序和瀏覽器會(huì)話,以防止惡意軟件對主操作系統(tǒng)的影響�����。WDAGUtilityAccount是與這項(xiàng)功能相關(guān)聯(lián)的服務(wù)賬戶,用于管理和運(yùn)行WDAG的相關(guān)進(jìn)程�。Guest:Guest賬戶是Windows操作系統(tǒng)中的一個(gè)標(biāo)準(zhǔn)設(shè)置,用于提供有限的訪客或臨時(shí)用戶訪問權(quán)限�����。Guest賬戶通常處于限制模式���,擁有最低限度的系統(tǒng)權(quán)限����,并且通常無法安裝軟件或更改系統(tǒng)設(shè)置���。它設(shè)計(jì)用于短期或不常用的臨時(shí)訪問�。
可以查看指定用戶的信息�,比如上次登錄時(shí)間
net user administrator
方法二:運(yùn)行框
【W(wǎng)in+R】打開運(yùn)行框,輸入【lusrmgr.msc】命令打開本地用戶和組��,可以看到系統(tǒng)中的所有用戶��,包括隱藏用戶���。
方法三:注冊表
【W(wǎng)in+R】打開運(yùn)行框���,輸入【regedit】命令打開注冊表�����,可以看到系統(tǒng)中的所有用戶����,包括隱藏用戶�����。查找以下路徑:
\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
默認(rèn)無法查看該選項(xiàng)內(nèi)容��,需右鍵權(quán)限����,勾選為完全控制后確認(rèn),刷新即可看到
4.3.5 Webshell查殺
若服務(wù)器搭建系統(tǒng)����,攻擊者可能通過系統(tǒng)漏洞上傳Webshell進(jìn)行攻擊利用����,可通過D盾查殺工具進(jìn)行排查檢測�����,選擇對應(yīng)文件夾進(jìn)行檢測�����,右鍵點(diǎn)擊可選擇打開當(dāng)前所在文件夾進(jìn)行刪除�����。
該工具除Webshell查殺功能以外�����,也能對啟動(dòng)項(xiàng)�����、隱藏賬戶��、網(wǎng)絡(luò)連接進(jìn)行排查�����。
該文章在 2024/6/28 11:30:51 編輯過
400 186 1886
