目錄

勒索病毒應(yīng)急響應(yīng)自救手冊(cè)

第一章?常見(jiàn)勒索病毒種類(lèi)介紹

一、WannaCry勒索

二、GlobeImposter勒索

三、Crysis/Dharma勒索

四、GandCrab勒索

五、Satan勒索

六、Sacrab勒索

七、Matrix勒索

八、STOP勒索

九、Paradise勒索

第二章? 如何判斷病情

一、業(yè)務(wù)系統(tǒng)無(wú)法訪(fǎng)問(wèn)

二、電腦桌面被篡改

三、文件后綴被篡改

第三章? 如何進(jìn)行自救

一、正確處置方法

二、錯(cuò)誤處置方法

第四章?如何恢復(fù)系統(tǒng)

一、歷史備份還原

二、解密工具恢復(fù)

三、專(zhuān)業(yè)人員代付

四、重裝系統(tǒng)

第五章? 如何加強(qiáng)防護(hù)

一、終端用戶(hù)安全建議

二、政企用戶(hù)安全建議

第六章??附錄：勒索病毒已知被利用漏洞合集

?

勒索病毒應(yīng)急響應(yīng)自救手冊(cè)

編寫(xiě)說(shuō)明

勒索病毒，是伴隨數(shù)字貨幣興起的一種新型病毒木馬，通常以垃圾郵件、服務(wù)器入侵、網(wǎng)頁(yè)掛馬、捆綁軟件等多種形式進(jìn)行傳播。機(jī)器一旦遭受勒索病毒攻擊，將會(huì)使絕大多數(shù)文件被加密算法修改，并添加一個(gè)特殊的后綴，且用戶(hù)無(wú)法讀取原本正常的文件，對(duì)用戶(hù)造成無(wú)法估量的損失。勒索病毒通常利用非對(duì)稱(chēng)加密算法和對(duì)稱(chēng)加密算法組合的形式來(lái)加密文件，絕大多數(shù)勒索軟件均無(wú)法通過(guò)技術(shù)手段解密，必須拿到對(duì)應(yīng)的解密私鑰才有可能無(wú)損還原被加密文件。黑客正是通過(guò)這樣的行為向受害用戶(hù)勒索高昂的贖金，這些贖金必須通過(guò)數(shù)字貨幣支付，一般無(wú)法溯源，因此危害巨大。

自2017年5月WannaCry（永恒之藍(lán)勒索蠕蟲(chóng)）大規(guī)模爆發(fā)以來(lái)，勒索病毒已成為對(duì)政企機(jī)構(gòu)和網(wǎng)民直接威脅最大的一類(lèi)木馬病毒。近期爆發(fā)的Globelmposter、GandCrab、Crysis等勒索病毒，攻擊者更是將攻擊的矛頭對(duì)準(zhǔn)企業(yè)服務(wù)器，并形成產(chǎn)業(yè)化；而且勒索病毒的質(zhì)量和數(shù)量的不斷攀升，已經(jīng)成為政企機(jī)構(gòu)面臨的最大的網(wǎng)絡(luò)威脅之一。

為幫助更多的政企機(jī)構(gòu)，在遭遇網(wǎng)絡(luò)安全事件時(shí)，能夠正確處置突發(fā)的勒索病毒，及時(shí)采取必要的自救措施，阻止損失擴(kuò)大，為等待專(zhuān)業(yè)救援爭(zhēng)取時(shí)間?！独账鞑《緫?yīng)急響應(yīng)自救手冊(cè)》希望能對(duì)廣大政企客戶(hù)有所幫助。

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

第一章?常見(jiàn)勒索病毒種類(lèi)介紹

自2017年“永恒之藍(lán)”勒索事件之后，勒索病毒愈演愈烈，不同類(lèi)型的變種勒索病毒層出不窮。

勒索病毒傳播素以傳播方式塊，目標(biāo)性強(qiáng)著稱(chēng)，傳播方式多見(jiàn)于利用“永恒之藍(lán)”漏洞、爆破、釣魚(yú)郵件等方式傳播。同時(shí)勒索病毒文件一旦被用戶(hù)點(diǎn)擊打開(kāi)，進(jìn)入本地，就會(huì)自動(dòng)運(yùn)行，同時(shí)刪除勒索軟件樣本，以躲避查殺和分析。所以，加強(qiáng)對(duì)常見(jiàn)勒索病毒認(rèn)知至關(guān)重要。如果在日常工作中，發(fā)現(xiàn)存在以下特征的文件，需務(wù)必謹(jǐn)慎。由于勒索病毒種類(lèi)多至上百種，因此特整理了近期流行的勒索病毒種類(lèi)、特征及常見(jiàn)傳播方式，供大家參考了解：

一、WannaCry勒索

2017年5月12日，WannaCry勒索病毒全球大爆發(fā)，至少150個(gè)國(guó)家、30萬(wàn)名用戶(hù)中招，造成損失達(dá)80億美元。WannaCry蠕蟲(chóng)通過(guò)MS17-010漏洞在全球范圍大爆發(fā)，感染了大量的計(jì)算機(jī)，該蠕蟲(chóng)感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)中植入敲詐者病毒，導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會(huì)提示需要支付相應(yīng)贖金方可解密。

·?常見(jiàn)后綴：wncry

·?傳播方式：永恒之藍(lán)漏洞

·?特征： 啟動(dòng)時(shí)會(huì)連接一個(gè)不存在url

? ? ?創(chuàng)建系統(tǒng)服務(wù)mssecsvc2.0

?釋放路徑為Windows目錄

?

二、GlobeImposter勒索

2017年出現(xiàn)，2018年8月21日起，多地發(fā)生GlobeImposter勒索病毒事件，攻擊目標(biāo)主要是開(kāi)始遠(yuǎn)程桌面服務(wù)的服務(wù)器，攻擊者通過(guò)暴力破解服務(wù)器密碼，對(duì)內(nèi)網(wǎng)服務(wù)器發(fā)起掃描并人工投放勒索病毒，導(dǎo)致文件被加密多個(gè)版本更新，并常通過(guò)爆破RDP后手工投毒傳播，暫無(wú)法解密。

·?常見(jiàn)后綴：auchentoshan、動(dòng)物名+4444

·?傳播方式：RDP爆破

?垃圾郵件

? ? ? ? ? ?捆綁軟件

·?特征：釋放在%appdata%或%localappdata%

?

三、Crysis/Dharma勒索

最早出現(xiàn)在2016年，在2017年5月萬(wàn)能密鑰被公布之后，消失了一段時(shí)間，但在2017年6月后開(kāi)始繼續(xù)更新。攻擊方法同樣是通過(guò)遠(yuǎn)程RDP爆力破解的方式，植入到用戶(hù)的服務(wù)器進(jìn)行攻擊，其加密后的文件的后綴名為.java，由于CrySiS采用AES+RSA的加密方式，最新版本無(wú)法解密。

·?常見(jiàn)后綴：【id】+勒索郵箱+特定后綴

·?傳播方式：RDP爆破

·?特征：勒索信位置在startup目錄

樣本位置在%windir%\System32

Startup目錄

%appdata%目錄

?

四、GandCrab勒索

2018年年初面世，作者長(zhǎng)時(shí)間多個(gè)大版本更新，僅僅半年的時(shí)候，就連續(xù)出現(xiàn)了V1.0,V2.0,V2.1,V3.0,V4.0等變種，病毒采用Salsa20和RSA-2048算法對(duì)文件進(jìn)行加密，并修改文件后綴為.GDCB、.GRAB、.KRAB或5-10位隨機(jī)字母，并將感染主機(jī)桌面背景替換為勒索信息圖片。GandCrab5.1之前版本可解密，最新GandCrab5.2無(wú)法解密。

·?常見(jiàn)后綴：隨機(jī)生成

·?傳播方式：RDP爆破

?釣魚(yú)郵件

?捆綁軟件

?僵尸網(wǎng)絡(luò)

?漏洞傳播

?……

·?特征：樣本執(zhí)行完畢后自刪除

修改操作系統(tǒng)桌面背景

后綴-MANUAL.txt

后綴-DECRYPT.txt

?

五、Satan勒索

撒旦（Satan）勒索病毒首次出現(xiàn)2017年1月份。該勒索進(jìn)行Windows&Linux雙平臺(tái)攻擊，最新版本攻擊成功后，會(huì)加密文件并修改文件后綴為“evopro”。除了通過(guò)RDP爆破外，一般還通過(guò)多個(gè)漏洞傳播。

·?常見(jiàn)后綴：evopro

?? ?? sick

?? ?? …

·?傳播方式：永恒之藍(lán)漏洞

?? ?? RDP爆破

?? ?? JBOSS系列漏洞

?? ?? Tomcat系列漏洞

?? ?? Weblogic組件漏洞

?? ?? ……

·?特征：最新變種evopro暫時(shí)無(wú)法解密，老的變種可解密

?

六、Sacrab勒索

Scarab（圣甲蟲(chóng)）惡意軟件于2017年6月首次發(fā)現(xiàn)。此后，有多個(gè)版本的變種陸續(xù)產(chǎn)生并被發(fā)現(xiàn)。最流行的一個(gè)版本是通過(guò)Necurs僵尸網(wǎng)絡(luò)進(jìn)行分發(fā)，使用Visual C語(yǔ)言編寫(xiě)而成，又見(jiàn)于垃圾郵件和RDP爆破等方式。在針對(duì)多個(gè)變種進(jìn)行脫殼之后，我們發(fā)現(xiàn)有一個(gè)2017年12月首次發(fā)現(xiàn)的變種Scarabey，其分發(fā)方式與其他變種不同，并且它的有效載荷代碼也并不相同。

·?常見(jiàn)后綴：.krab

?? ?????? .Sacrab

?? ?????? .bomber

?? ?????? .Crash

?? ?????? ……

·?傳播方式：Necurs僵尸網(wǎng)絡(luò)

?? ?????? RDP爆破

?? ?????? 垃圾郵件

?? ?????? ……

·?特征：樣本釋放%appdata%\Roaming

?

七、Matrix勒索

目前為止變種較多的一種勒索，該勒索病毒主要通過(guò)入侵遠(yuǎn)程桌面進(jìn)行感染安裝，黑客通過(guò)暴力枚舉直接連入公網(wǎng)的遠(yuǎn)程桌面服務(wù)從而入侵服務(wù)器，獲取權(quán)限后便會(huì)上傳該勒索病毒進(jìn)行感染，勒索病毒啟動(dòng)后會(huì)顯示感染進(jìn)度等信息，在過(guò)濾部分系統(tǒng)可執(zhí)行文件類(lèi)型和系統(tǒng)關(guān)鍵目錄后，對(duì)其余文件進(jìn)行加密，加密后的文件會(huì)被修改后綴名為其郵箱。

·?常見(jiàn)后綴：.GRHAN

?? ??? .PRCP

?? ??? .SPCT

?? ??? .PEDANT

?? ??? …

·?傳播方式：RDP爆破

?

八、STOP勒索

同Matrix勒索類(lèi)似，Stop勒索病毒也是一個(gè)多變種的勒索木馬，一般通過(guò)垃圾郵件、捆綁軟件和RDP爆破進(jìn)行傳播，在某些特殊變種還會(huì)釋放遠(yuǎn)控木馬。

·?常見(jiàn)后綴：.TRO

?? ??? .djvu

?? ??? .puma

?? ??? .pumas

?? ??? .pumax

?? ??? .djvuq

?? ??? …

·?特征：樣本釋放在%appdata%\local\<隨機(jī)名稱(chēng)>

可能會(huì)執(zhí)行計(jì)劃任務(wù)

?

九、Paradise勒索

Paradise勒索最早出現(xiàn)在2018年7月下旬，最初版本會(huì)附加一個(gè)超長(zhǎng)后綴如：（_V.0.0.0.1{yourencrypter@protonmail.ch}.dp）到原文件名末尾，在每個(gè)包含加密文件的文件夾都會(huì)生成一個(gè)勒索信如下：

?

而后續(xù)活躍及變種版本，采用了Crysis/Dharma勒索信樣式圖彈窗如：

?

勒索信如下樣式

?

·?加密文件后綴：文件名_%ID字符串%_{勒索郵箱}.特定后綴

·?特征：將勒索彈窗和自身釋放到Startup啟動(dòng)目錄

第二章? 如何判斷病情

如何判斷服務(wù)器中了勒索病毒呢？勒索病毒區(qū)別于其他病毒的明顯特征：加密受害者主機(jī)的文檔和數(shù)據(jù)，然后對(duì)受害者實(shí)施勒索，從中非法謀取私利。勒索病毒的收益極高，所以大家才稱(chēng)之為“勒索病毒”。

勒索病毒的主要目的既然是為了勒索，那么黑客在植入病毒完成加密后，必然會(huì)提示受害者您的文件已經(jīng)被加密了無(wú)法再打開(kāi)，需要支付贖金才能恢復(fù)文件。所以，勒索病毒有明顯區(qū)別于一般病毒的典型特征。如果服務(wù)器出現(xiàn)了以下特征，即表明已經(jīng)中了勒索病毒。

一、業(yè)務(wù)系統(tǒng)無(wú)法訪(fǎng)問(wèn)

2018年以來(lái)，勒索病毒的攻擊不再局限于加密核心業(yè)務(wù)文件；轉(zhuǎn)而對(duì)企業(yè)的服務(wù)器和業(yè)務(wù)系統(tǒng)進(jìn)行攻擊，感染企業(yè)的關(guān)鍵系統(tǒng)，破壞企業(yè)的日常運(yùn)營(yíng)；甚至還延伸至生產(chǎn)線(xiàn)——生產(chǎn)線(xiàn)不可避免地存在一些遺留系統(tǒng)和各種硬件難以升級(jí)打補(bǔ)丁等原因，一旦遭到勒索攻擊的直接后果就是生產(chǎn)線(xiàn)停產(chǎn)。

比如：2018年2月，某三甲醫(yī)院遭遇勒索病毒，全院所有的醫(yī)療系統(tǒng)均無(wú)法正常使用，正常就醫(yī)秩序受到嚴(yán)重影響；同年8月，臺(tái)積電在臺(tái)灣北、中、南三處重要生產(chǎn)基地，均因勒索病毒入侵導(dǎo)致生產(chǎn)停擺。

但是，當(dāng)業(yè)務(wù)系統(tǒng)出現(xiàn)無(wú)法訪(fǎng)問(wèn)、生產(chǎn)線(xiàn)停產(chǎn)等現(xiàn)象時(shí)，并不能100%確定是服務(wù)器感染了勒索病毒，也有可能是遭到DDoS攻擊或是中了其他病毒等原因所致，所以，還需要結(jié)合以下特征來(lái)判斷。

二、電腦桌面被篡改

服務(wù)器被感染勒索病毒后，最明顯的特征是電腦桌面發(fā)生明顯變化，即：桌面通常會(huì)出現(xiàn)新的文本文件或網(wǎng)頁(yè)文件，這些文件用來(lái)說(shuō)明如何解密的信息，同時(shí)桌面上顯示勒索提示信息及解密聯(lián)系方式，通常提示信息英文較多，中文提示信息較少。

下面為電腦感染勒索病毒后，幾種典型的桌面發(fā)生變化的示意圖。

?

?

?

三、文件后綴被篡改

服務(wù)器感染勒索病毒后，另外一個(gè)典型特征是：辦公文檔、照片、視頻等文件的圖標(biāo)變?yōu)椴豢纱蜷_(kāi)形式，或者文件后綴名被篡改。一般來(lái)說(shuō)，文件后綴名會(huì)被改成勒索病毒家族的名稱(chēng)或其家族代表標(biāo)志，如：GlobeImposter家族的后綴為.dream、.TRUE、.CHAK等；Satan家族的后綴.satan、sicck；Crysis家族的后綴有.ARROW、.arena等。

下面為電腦感染勒索病毒后，幾種典型的文件后綴名被篡改或文件圖標(biāo)變?yōu)椴豢纱蜷_(kāi)的示意圖。

?

當(dāng)我們看到上述三個(gè)現(xiàn)象的時(shí)候，說(shuō)明服務(wù)器已經(jīng)遭到勒索病毒的攻擊，此時(shí)，如果我們倉(cāng)促的進(jìn)行不正確的處置，反而可能會(huì)進(jìn)一步擴(kuò)大自己的損失。

所以，請(qǐng)保持冷靜不要驚慌失措，現(xiàn)在我們需要做的是如何最大化的減少損失，并阻止黑客繼續(xù)去攻擊其他服務(wù)器。具體操作步驟請(qǐng)見(jiàn)下一章。

第三章? 如何進(jìn)行自救

當(dāng)我們已經(jīng)確認(rèn)感染勒索病毒后，應(yīng)當(dāng)及時(shí)采取必要的自救措施。之所以要進(jìn)行自救，主要是因?yàn)椋旱却龑?zhuān)業(yè)人員的救助往往需要一定的時(shí)間，采取必要的自救措施，可以減少等待過(guò)程中，損失的進(jìn)一步擴(kuò)大。例如：與被感染主機(jī)相連的其他服務(wù)器也存在漏洞或是有缺陷，將有可能也被感染。所以，采取自救措施的目的是為了及時(shí)止損，將損失降到最低。

一、正確處置方法

(一)隔離中招主機(jī)

處置方法

當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，應(yīng)立即隔離被感染主機(jī)，隔離主要包括物理隔離和訪(fǎng)問(wèn)控制兩種手段，物理隔離主要為斷網(wǎng)或斷電；訪(fǎng)問(wèn)控制主要是指對(duì)訪(fǎng)問(wèn)網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。

1）??物理隔離

物理隔離常用的操作方法是斷網(wǎng)和關(guān)機(jī)。

斷網(wǎng)主要操作步驟包括：拔掉網(wǎng)線(xiàn)、禁用網(wǎng)卡，如果是筆記本電腦還需關(guān)閉無(wú)線(xiàn)網(wǎng)絡(luò)。

2）??訪(fǎng)問(wèn)控制

訪(fǎng)問(wèn)控制常用的操作方法是加策略和修改登錄密碼。

加策略主要操作步驟為：在網(wǎng)絡(luò)側(cè)使用安全設(shè)備進(jìn)行進(jìn)一步隔離，如防火墻或終端安全監(jiān)測(cè)系統(tǒng)；避免將遠(yuǎn)程桌面服務(wù)（RDP，默認(rèn)端口為3389）暴露在公網(wǎng)上（如為了遠(yuǎn)程運(yùn)維方便確有必要開(kāi)啟，則可通過(guò)VPN登錄后才能訪(fǎng)問(wèn)），并關(guān)閉445、139、135等不必要的端口。

修改登錄密碼的主要操作為：立刻修改被感染服務(wù)器的登錄密碼；其次，修改同一局域網(wǎng)下的其他服務(wù)器密碼；第三，修改最高級(jí)系統(tǒng)管理員賬號(hào)的登錄密碼。修改的密碼應(yīng)為高強(qiáng)度的復(fù)雜密碼，一般要求：采用大小寫(xiě)字母、數(shù)字、特殊符號(hào)混合的組合結(jié)構(gòu)，口令位數(shù)足夠長(zhǎng)（15位、兩種組合以上）。

處置原理

隔離的目的，一方面是為了防止感染主機(jī)自動(dòng)通過(guò)連接的網(wǎng)絡(luò)繼續(xù)感染其他服務(wù)器；另一方面是為了防止黑客通過(guò)感染主機(jī)繼續(xù)操控其他服務(wù)器。

有一類(lèi)勒索病毒會(huì)通過(guò)系統(tǒng)漏洞或弱密碼向其他主機(jī)進(jìn)行傳播，如WannaCry勒索病毒，一旦有一臺(tái)主機(jī)感染，會(huì)迅速感染與其在同一網(wǎng)絡(luò)的其他電腦，且每臺(tái)電腦的感染時(shí)間約為1-2分鐘左右。所以，如果不及時(shí)進(jìn)行隔離，可能會(huì)導(dǎo)致整個(gè)局域網(wǎng)主機(jī)的癱瘓。

另外，近期也發(fā)現(xiàn)有黑客會(huì)以暴露在公網(wǎng)上的主機(jī)為跳板，再順藤摸瓜找到核心業(yè)務(wù)服務(wù)器進(jìn)行勒索病毒攻擊，造成更大規(guī)模的破壞。

當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，應(yīng)立即隔離被感染主機(jī)，防止病毒繼續(xù)感染其他服務(wù)器，造成無(wú)法估計(jì)的損失。

(二)排查業(yè)務(wù)系統(tǒng)

處置方法

在已經(jīng)隔離被感染主機(jī)后，應(yīng)對(duì)局域網(wǎng)內(nèi)的其他機(jī)器進(jìn)行排查，檢查核心業(yè)務(wù)系統(tǒng)是否受到影響，生產(chǎn)線(xiàn)是否受到影響，并檢查備份系統(tǒng)是否被加密等，以確定感染的范圍。

處置原理

業(yè)務(wù)系統(tǒng)的受影響程度直接關(guān)系著事件的風(fēng)險(xiǎn)等級(jí)。評(píng)估風(fēng)險(xiǎn)，及時(shí)采取對(duì)應(yīng)的處置措施，避免更大的危害。

另外，備份系統(tǒng)如果是安全的，就可以避免支付贖金，順利的恢復(fù)文件。

所以，當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，并確認(rèn)已經(jīng)隔離被感染主機(jī)的情況下，應(yīng)立即對(duì)核心業(yè)務(wù)系統(tǒng)和備份系統(tǒng)進(jìn)行排查。

(三)聯(lián)系專(zhuān)業(yè)人員

在應(yīng)急自救處置后，建議第一時(shí)間聯(lián)系專(zhuān)業(yè)的技術(shù)人士或安全從業(yè)者，對(duì)事件的感染時(shí)間、傳播方式，感染家族等問(wèn)題進(jìn)行排查。

個(gè)人中招用戶(hù)可以：通過(guò)360安全衛(wèi)士的反勒索服務(wù)，聯(lián)系專(zhuān)業(yè)人士。用戶(hù)在進(jìn)入“360安全衛(wèi)士”-“反勒索服務(wù)”選項(xiàng)后，需要同時(shí)開(kāi)啟360文檔保護(hù)和360反勒索服務(wù)。開(kāi)啟這兩項(xiàng)服務(wù)后，若您被感染勒索病毒，點(diǎn)擊“申請(qǐng)服務(wù)”按鈕即可申請(qǐng)理賠。

政企機(jī)構(gòu)中招客戶(hù)可以聯(lián)系：360企業(yè)安全集團(tuán)，全國(guó)400應(yīng)急熱線(xiàn)：4008136 360轉(zhuǎn)2?轉(zhuǎn)4。

二、錯(cuò)誤處置方法

(一)使用移動(dòng)存儲(chǔ)設(shè)備

錯(cuò)誤操作

當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，在中毒電腦上使用U盤(pán)、移動(dòng)硬盤(pán)等移動(dòng)存儲(chǔ)設(shè)備。

錯(cuò)誤原理

勒索病毒通常會(huì)對(duì)感染電腦上的所有文件進(jìn)行加密，所以當(dāng)插上U?盤(pán)或移動(dòng)硬盤(pán)時(shí)，也會(huì)立即對(duì)其存儲(chǔ)的內(nèi)容進(jìn)行加密，從而造成損失擴(kuò)大。從一般性原則來(lái)看，當(dāng)電腦感染病毒時(shí)，病毒也可能通過(guò)U盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行傳播。

所以，當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，切勿在中毒電腦上使用U盤(pán)、移動(dòng)硬盤(pán)等設(shè)備。

(二)讀寫(xiě)中招主機(jī)上的磁盤(pán)文件

錯(cuò)誤操作

當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，輕信網(wǎng)上的各種解密方法或工具，自行操作。反復(fù)讀取磁盤(pán)上的文件后反而降低數(shù)據(jù)正確恢復(fù)的概率。

錯(cuò)誤原理

很多流行勒索病毒的基本加密過(guò)程為：

1）首先，將保存在磁盤(pán)上的文件讀取到內(nèi)存中；

2）其次，在內(nèi)存中對(duì)文件進(jìn)行加密；

3）最后，將修改后的文件重新寫(xiě)到磁盤(pán)中，并將原始文件刪除。

也就是說(shuō)，很多勒索病毒在生成加密文件的同時(shí)，會(huì)對(duì)原始文件采取刪除操作。理論上說(shuō)，使用某些專(zhuān)用的數(shù)據(jù)恢復(fù)軟件，還是有可能部分或全部恢復(fù)被加密文件的。

而此時(shí)，如果用戶(hù)對(duì)電腦磁盤(pán)進(jìn)行反復(fù)的讀寫(xiě)操作，有可能破壞磁盤(pán)空間上的原始文件，最終導(dǎo)致原本還有希望恢復(fù)的文件徹底無(wú)法恢復(fù)。

第四章?如何恢復(fù)系統(tǒng)

感染勒索病毒后，對(duì)于政企機(jī)構(gòu)來(lái)說(shuō)，最重要的就是怎么恢復(fù)被加密的文件了。一般來(lái)說(shuō)，可以通過(guò)歷史備份、解密工具或支付贖金來(lái)恢復(fù)被感染的系統(tǒng)。但是這三種操作都有一定的難度，因此，建議受害者不要自行操作。如果您想恢復(fù)系統(tǒng)，請(qǐng)聯(lián)系專(zhuān)業(yè)的技術(shù)人員或安全廠(chǎng)商，確保贖金的支付和解密過(guò)程正確進(jìn)行，避免其他不必要的損失。

政企機(jī)構(gòu)中招客戶(hù)可以聯(lián)系：360企業(yè)安全集團(tuán)，全國(guó)400應(yīng)急熱線(xiàn)：4008 136 360轉(zhuǎn)2?轉(zhuǎn)4。

一、歷史備份還原

如果事前已經(jīng)對(duì)文件進(jìn)行了備份，那么我們將不會(huì)再擔(dān)憂(yōu)和煩惱?？梢灾苯訌脑票P(pán)、硬盤(pán)或其他災(zāi)備系統(tǒng)中，恢復(fù)被加密的文件。值得注意的是，在文件恢復(fù)之前，應(yīng)確保系統(tǒng)中的病毒已被清除，已經(jīng)對(duì)磁盤(pán)進(jìn)行格式化或是重裝系統(tǒng)，以免插上移動(dòng)硬盤(pán)的瞬間，或是網(wǎng)盤(pán)下載文件到本地后，備份文件也被加密。

事先進(jìn)行備份，既是最有效也是成本最低的恢復(fù)文件的方式。

二、解密工具恢復(fù)

絕大多數(shù)勒索病毒使用的加密算法都是國(guó)際公認(rèn)的標(biāo)準(zhǔn)算法，這種加密方式的特點(diǎn)是，只要加密密鑰足夠長(zhǎng)，普通電腦可能需要數(shù)十萬(wàn)年才能夠破解，破解成本是極高的。通常情況，如果不支付贖金是無(wú)法解密恢復(fù)文件的。

但是，對(duì)于以下三種情況，可以通過(guò)360提供的解密工具恢復(fù)感染文件。

1）勒索病毒的設(shè)計(jì)編碼存在漏洞或并未正確實(shí)現(xiàn)加密算法

2）勒索病毒的制造者主動(dòng)發(fā)布了密鑰或主密鑰。

3）執(zhí)法機(jī)構(gòu)查獲帶有密鑰的服務(wù)器，并進(jìn)行了分享。

可以通過(guò)網(wǎng)站（http://lesuobingdu.#/）查詢(xún)哪些勒索病毒可以解密。例如：今年下半年大規(guī)模流行的GandCrab家族勒索病毒，GandCrabV5.0.3及以前的版本可以通過(guò)360解密大師進(jìn)行解密。

需要注意的是：使用解密工具之前，務(wù)必要備份加密的文件，防止解密不成功導(dǎo)致無(wú)法恢復(fù)數(shù)據(jù)。

?

三、專(zhuān)業(yè)人員代付

勒索病毒的贖金一般為比特幣或其他數(shù)字貨幣，數(shù)字貨幣的購(gòu)買(mǎi)和支付對(duì)一般用戶(hù)來(lái)說(shuō)具有一定的難度和風(fēng)險(xiǎn)。具體主要體現(xiàn)在：

1）統(tǒng)計(jì)顯示，95%以上的勒索病毒攻擊者來(lái)自境外，由于語(yǔ)言不通，容易在溝通中產(chǎn)生誤解，影響文件的解密。

2）數(shù)字貨幣交付需要在特定的交易平臺(tái)下進(jìn)行，不熟悉數(shù)字貨幣交易時(shí)，容易人才兩空。

所以，即使支付贖金可以解密，也不建議自行支付贖金。請(qǐng)聯(lián)系專(zhuān)業(yè)的安全公司或數(shù)據(jù)恢復(fù)公司進(jìn)行處理，以保證數(shù)據(jù)能成功恢復(fù)。

四、重裝系統(tǒng)

當(dāng)文件無(wú)法解密，也覺(jué)得被加密的文件價(jià)值不大時(shí)，也可以采用重裝系統(tǒng)的方法，恢復(fù)系統(tǒng)。但是，重裝系統(tǒng)意味著文件再也無(wú)法被恢復(fù)。另外，重裝系統(tǒng)后需更新系統(tǒng)補(bǔ)丁，并安裝殺毒軟件和更新殺毒軟件的病毒庫(kù)到最新版本，而且對(duì)于服務(wù)器也需要進(jìn)行針對(duì)性的防黑加固。

第五章? 如何加強(qiáng)防護(hù)

一、終端用戶(hù)安全建議

對(duì)于普通終端用戶(hù)，我們給出以下建議，以幫助用戶(hù)免遭勒索病毒的攻擊：

養(yǎng)成良好的安全習(xí)慣

1）電腦應(yīng)當(dāng)安裝具有云防護(hù)和主動(dòng)防御功能的安全軟件，不隨意退出安全軟件或關(guān)閉防護(hù)功能，對(duì)安全軟件提示的各類(lèi)風(fēng)險(xiǎn)行為不要輕易放行。

2）使用安全軟件的第三方打補(bǔ)丁功能對(duì)系統(tǒng)進(jìn)行漏洞管理，第一時(shí)間給操作系統(tǒng)和IE、Flash等常用軟件打好補(bǔ)丁，定期更新病毒庫(kù)，以免病毒利用漏洞自動(dòng)入侵電腦。

3）對(duì)系統(tǒng)用戶(hù)密碼及時(shí)進(jìn)行更改，并使用LastPass等密碼管理器對(duì)相關(guān)密碼進(jìn)行加密存儲(chǔ)，避免使用本地明文文本的方式進(jìn)行存儲(chǔ)。系統(tǒng)相關(guān)用戶(hù)杜絕使用弱口令，同時(shí)，應(yīng)該使用高復(fù)雜強(qiáng)度的密碼，8位以上盡量包含大小寫(xiě)字母、數(shù)字、特殊符號(hào)等的混合密碼，加強(qiáng)運(yùn)維人員安全意識(shí)，禁止密碼重用的情況出現(xiàn)，并定期對(duì)密碼進(jìn)行更改。

4）重要文檔數(shù)據(jù)應(yīng)經(jīng)常做備份，一旦文件損壞或丟失，也可以及時(shí)找回。

減少危險(xiǎn)的上網(wǎng)操作

1）不要瀏覽來(lái)路不明的色情、賭博等不良信息網(wǎng)站，這些網(wǎng)站經(jīng)常被用于發(fā)動(dòng)掛馬、釣魚(yú)攻擊。

2）不要輕易打開(kāi)陌生人發(fā)來(lái)的郵件附件或郵件正文中的網(wǎng)址鏈接。

3）不要輕易打開(kāi)后綴名為js、vbs、wsf、bat等腳本文件和exe、scr等可執(zhí)行程序，對(duì)于陌生人發(fā)來(lái)的壓縮文件包，更應(yīng)提高警惕，應(yīng)先掃毒后打開(kāi)。

4）電腦連接移動(dòng)存儲(chǔ)設(shè)備，如U盤(pán)、移動(dòng)硬盤(pán)等，應(yīng)首先使用安全軟件檢測(cè)其安全性。

5）對(duì)于安全性不確定的文件，可以選擇在安全軟件的沙箱功能中打開(kāi)運(yùn)行，從而避免木馬對(duì)實(shí)際系統(tǒng)的破壞。

采取及時(shí)的補(bǔ)救措施

1）安裝“360安全衛(wèi)士”并開(kāi)啟“反勒索服務(wù)”，一旦電腦被勒索病毒感染，可以通過(guò)360反勒索服務(wù)申請(qǐng)贖金賠付，以盡可能的減小自身經(jīng)濟(jì)損失。

二、政企用戶(hù)安全建議

1）如用戶(hù)處存在虛擬化環(huán)境，建議用戶(hù)安裝360網(wǎng)神虛擬化安全管理系統(tǒng)，進(jìn)一步提升防惡意軟件、防暴力破解等安全防護(hù)能力。

2）安裝天擎等終端安全軟件，及時(shí)給辦公終端打補(bǔ)丁修復(fù)漏洞，包括操作系統(tǒng)以及第三方應(yīng)用的補(bǔ)丁。

3）針對(duì)政企用戶(hù)的業(yè)務(wù)服務(wù)器，除了安裝殺毒軟件還需要部署安全加固軟件，阻斷黑客攻擊。

4）企業(yè)用戶(hù)應(yīng)采用足夠復(fù)雜的登錄密碼登錄辦公系統(tǒng)或服務(wù)器，并定期更換密碼，嚴(yán)格避免多臺(tái)服務(wù)器共用同一個(gè)密碼。

5）限制內(nèi)網(wǎng)主機(jī)可進(jìn)行訪(fǎng)問(wèn)的網(wǎng)絡(luò)、主機(jī)范圍。有效加強(qiáng)訪(fǎng)問(wèn)控制ACL策略，細(xì)化策略粒度，按區(qū)域按業(yè)務(wù)嚴(yán)格限制各個(gè)網(wǎng)絡(luò)區(qū)域以及服務(wù)器之間的訪(fǎng)問(wèn)，采用白名單機(jī)制只允許開(kāi)放特定的業(yè)務(wù)必要端口，其他端口一律禁止訪(fǎng)問(wèn)，僅管理員IP可對(duì)管理端口進(jìn)行訪(fǎng)問(wèn)，如FTP、數(shù)據(jù)庫(kù)服務(wù)、遠(yuǎn)程桌面等管理端口。

6）對(duì)重要數(shù)據(jù)和核心文件及時(shí)進(jìn)行備份，并且備份系統(tǒng)與原系統(tǒng)隔離，分別保存。

7）部署天眼等安全設(shè)備，增加全流量威脅檢測(cè)手段，實(shí)時(shí)監(jiān)測(cè)威脅、事件。

8）如果沒(méi)有使用的必要，盡量關(guān)閉3389、445、139、135等不用的高危端口，建議內(nèi)網(wǎng)部署堡壘機(jī)類(lèi)似的設(shè)備，并只允許堡壘機(jī)IP訪(fǎng)問(wèn)服務(wù)器的遠(yuǎn)程管理端口（445、3389、22）。

9）提高安全運(yùn)維人員職業(yè)素養(yǎng)，除工作電腦需要定期進(jìn)行木馬病毒查殺外，如有遠(yuǎn)程家中辦公電腦也需要定期進(jìn)行病毒木馬查殺。

10）提升新興威脅對(duì)抗能力

通過(guò)對(duì)抗式演習(xí)，從安全的技術(shù)、管理和運(yùn)營(yíng)等多個(gè)維度出發(fā)，對(duì)企業(yè)的互聯(lián)網(wǎng)邊界、防御體系及安全運(yùn)營(yíng)制度等多方面進(jìn)行仿真檢驗(yàn)，持續(xù)提升企業(yè)對(duì)抗新興威脅的能力。

?

第六章??附錄：勒索病毒已知被利用漏洞合集

已知被利用漏洞

RDP協(xié)議弱口令爆破

Windows SMB遠(yuǎn)程代碼執(zhí)行漏洞MS17-010

Win32k提權(quán)漏洞CVE-2018-8120

Windows ALPC提權(quán)漏洞CVE-2018-8440

Windows內(nèi)核信息泄露CVE-2018-0896

Weblogic反序列化漏洞CVE-2017-3248

WeblogicWLS組件漏洞CVE-2017-10271

Apache Struts2遠(yuǎn)程代碼執(zhí)行漏洞S2-057

Apache Struts2遠(yuǎn)程代碼執(zhí)行漏洞S2-045

Jboss默認(rèn)配置漏洞(CVE-2010-0738)

Jboss反序列化漏洞(CVE-2013-4810)

JBOSS反序列化漏洞(CVE-2017-12149)

Tomcat web管理后臺(tái)弱口令爆破

Spring Data Commons?遠(yuǎn)程命令執(zhí)行漏洞(CVE-2018-1273)

WINRAR代碼執(zhí)行漏洞(CVE-2018-20250)

Nexus Repository Manager 3遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2019-7238)

?