勒索病毒介紹

勒索病毒，是一種新型電腦病毒，重要以郵件、程序木馬的情勢進(jìn)行傳播。該病毒性子惡劣、危害極大，一旦感染將給路段帶來營業(yè)終端，數(shù)據(jù)被加密等無法估量的損失，且該病毒具備傳染性，可能對網(wǎng)絡(luò)中所有設(shè)備進(jìn)行攻擊，造成感染。

   投毒步驟

①攻擊者發(fā)現(xiàn)了暴露在公網(wǎng)上的設(shè)備A

②通過代理服務(wù)器進(jìn)行慢速爆破避免被安全設(shè)備識別

③取得設(shè)備A控制權(quán)后繼承滲透服務(wù)器A

④攻陷服務(wù)器A后發(fā)現(xiàn)是測試環(huán)境通過遠(yuǎn)控繼承橫向擴(kuò)散

⑤當(dāng)發(fā)現(xiàn)被攻陷的服務(wù)器中存在有價值的信息后打開加密開關(guān)

        預(yù)防手段

 基礎(chǔ)安全加固

 資產(chǎn)安全優(yōu)化

針對內(nèi)網(wǎng)的資產(chǎn)、威脅及風(fēng)險，進(jìn)行持續(xù)性檢測；基于威脅情報驅(qū)動，增強(qiáng)云端、邊界、端點的聯(lián)動，實現(xiàn)防御、檢測、相應(yīng)閉環(huán)。

對弱密碼情況進(jìn)行處置，保證密碼的復(fù)雜度，降低被破解密碼入侵的風(fēng)險

定期升級體系或應(yīng)用至最新狀況，并全盤進(jìn)行查殺，對體系進(jìn)行深度清理，保證體系的安全性。

 安全運(yùn)營提拔

定期備份緊張資料以及數(shù)據(jù)

進(jìn)行資產(chǎn)梳理，確保所有主機(jī)資產(chǎn)都有用記錄并準(zhǔn)時進(jìn)行主機(jī)安裝更新。

進(jìn)步安全意識避免點擊釣魚郵件中的惡意Office文檔和鏈接

應(yīng)該確保安裝專業(yè)的反病毒產(chǎn)品，而不僅僅只安裝“電腦管家”、“電腦助手”等輔助類工具。最緊張的是，必要確保這些專業(yè)的反病毒產(chǎn)品實時運(yùn)行，并定期更新。

不要輕信網(wǎng)上的“專業(yè)恢復(fù)公司”，假如木已成舟，確認(rèn)悉數(shù)文件已經(jīng)被加密，此時應(yīng)該追求專業(yè)安全人員的幫助，切忌盲目使用搜索引擎查找網(wǎng)上的所謂解決方案，以及不要輕信網(wǎng)上的“專業(yè)恢復(fù)公司”。部分勒索軟件，攻擊者不僅嘗試感染用戶電腦，并且還在網(wǎng)絡(luò)上以“專業(yè)的勒索軟件消滅公司”為名義發(fā)布廣告。

        處理手段

應(yīng)急處理——>克制處理——>根除

      應(yīng)急處理

1. 發(fā)現(xiàn)文件被加密或者彈出勒索相干提醒時，不要立即重啟電腦，防止病毒發(fā)作及擴(kuò)散；

2. 確認(rèn)主機(jī)遭受勒索病毒后，應(yīng)對受影響的主機(jī)及其所在區(qū)域進(jìn)行斷網(wǎng)隔離，方法不限于關(guān)機(jī)、禁用有線網(wǎng)卡、無線網(wǎng)卡或拔掉網(wǎng)線、防止感染其他終端，并立即向上級主管部門報告；

3. 評估病毒影響范圍并一一排查確認(rèn)，增強(qiáng)全網(wǎng)的訪問控制策略（如防火墻策略等），防止病毒擴(kuò)散。

4. 若數(shù)據(jù)較為緊張的情況下，可臨時先不要刪除或損壞被加密數(shù)據(jù)、并確認(rèn)是否有能解決的方案。

    克制處理

5. 下線中毒設(shè)備，使用備用設(shè)備（確認(rèn)已提前打好補(bǔ)丁并將殺毒軟件升級至最新版本）盡快進(jìn)行營業(yè)恢復(fù)；

6. 對轄內(nèi)體系未中毒的設(shè)備進(jìn)行補(bǔ)丁修復(fù)及安全加固，以免勒索病毒橫向擴(kuò)展，影響更大范圍。

    根除

   1.   針對中毒設(shè)備進(jìn)行全盤格式化，并重裝操作體系，并從備份文件中恢復(fù)相干軟件及數(shù)據(jù)資料。

    小提醒

隨著勒索軟件影響面的漸漸擴(kuò)大，一些著名安全公司也紛紛根據(jù)此前獲取的威脅情報，開發(fā)出了針對勒索軟件的專門恢復(fù)工具。在發(fā)現(xiàn)感染后，可以嘗試使用這些公司提供的工具。必要細(xì)致的有兩點，一是務(wù)需要從這些著名安全公司的官網(wǎng)下載工具并使用。第二是，盡管目前存在肯定數(shù)量的恢復(fù)工具，但仍然無法確?？隙軐崿F(xiàn)恢復(fù)，甚至成功恢復(fù)的概率是偏低的，因此要有響應(yīng)的生理預(yù)期。下面匯總了著名廠商的恢復(fù)工具，列舉如下作為參考：

（1）     卡巴斯基免費勒索軟件解密器：

https://noransom.kaspersky.com/

（2）     Avast的免費勒索軟件解密工具：

https://www.avast.com/zh-cn/ransomware-decryption-tools

（3）     反病毒廠商EMSISOFT的解密工具：

https://www.emsisoft.com/decrypter/

（4）     著名安全研究團(tuán)隊MalwareTeam的工具：

https://id-ransomware.malwarehunterteam.com/

（5）     Nomoreransom勒索軟件解密工具集：

https://www.nomoreransom.org/zh/decryption-tools.html