【感謝鄭偉來稿】
一、勒索病毒介紹
百度百科給勒索病毒的定義是一種新型電腦病毒,主要以郵件、程式木馬、網頁挂馬的形式進行傳播。該病毒性質惡劣、危害極大,一旦感染将給使用者帶來無法估量的損失。衆所周知,在windows系統中是可以對檔案夾進行加鎖的,需要輸入指定的密碼方可顯示檔案夾裡的内容,勒索病毒的原理與此類似,通過特定的加密算法對檔案進行加密,通常情況下很難自行破解,需要拿到解密的私鑰才可進行解密。
二、勒索病毒原理
說到勒索病毒首先得說一下什麼是公鑰和私鑰,公鑰和私鑰是通過一種算法得到的一個密鑰對,對外公開的即為公鑰,自己保留的即為私鑰。公鑰和私鑰本質上并無差別,皆可進行加密,通過其中一種密鑰進行加密則必須通過另外一種密鑰進行解密。兩種密鑰的加密方式應用場景有所不同,公鑰加密應用在我們通常了解的加解密,私鑰加密應用在數字簽名上,以驗證身份的合法性。勒索病毒使用的就是公鑰加密的手段,病毒的開發者在自己的電腦上通過算法生成公鑰1和私鑰1,利用病毒在目标裝置上随機生成一對密鑰對,公鑰2和私鑰2,利用目标裝置上生成的公鑰2加密目标資料,利用公鑰1加密私鑰2,當使用者支付贖金後,病毒開發者提供私鑰去解密得出目标裝置上随機生成的私鑰2,進而解密出使用者的資料。
三、勒索病毒處置流程
1
裝置斷網
通過拔網線的方式對感染病毒的裝置進行斷網處置。
2
内網裝置關閉高危端口
在Windows server作業系統上,可以通過IP安全政策禁用本地端口(比較複雜,功能強大,不依賴防火牆),配置步驟如下。
(1)首先,Win+R打開運作,輸入gpedit.msc進入組政策編輯器。
(2)在左側邊欄中,依次選取 “計算機配置 - Windows 設定 - 安全設定 - IP安全政策,在 本地計算機”。
(3)接下來右鍵單擊 “IP安全政策,在 本地計算機”,并選擇“建立IP安全政策”,随後會跳出“IP安全政策向導”界面。
(4)在IP安全政策向導初始界面點選“下一步”,在跳轉界面中,配置政策名稱并進行描述,然後“下一步”。
(5)在跳轉的“安全通訊請求”界面中,不必進行勾選配置,直接點選“下一步”。
(6)勾選“編輯屬性”,并點選“完成”。
(7)在随後跳出的防範勒索病毒屬性視窗中,單擊添加(需要注意的是不要勾選右下角的“使用添加向導”。)。
(8)然後在”新規則 屬性”視窗中,單擊左下角的“添加”,在IP篩選器清單視窗中,配置IP篩選清單名稱,單擊右側的添加按鈕,需要注意的是這裡也不要點選右下角的”使用添加向導”。
(9)在彈出的IP篩選器屬性視窗的位址頁籤中,原位址選擇“任何IP位址”,目标位址選擇“我的IP位址”。
(10)然後選擇協定頁籤,選擇協定類型為:TCP,設定IP協定端口為”從任意端口”“到此端口”:135,并單擊确定。然後在IP篩選器清單中單擊确定。
(11)重複第8、9、10步的操作,添加137、138、139、445規則。
(12)所有的IP篩選清單添加完成後,選擇“篩選器操作”頁籤,單擊下方的“添加”,并且不要勾選右側的“使用添加向導”。
(13)在新篩選器操作屬性中,選擇“阻止”,并切換到正常頁籤,将名稱改為阻止,單擊确定。
(14)回到新規則屬性視窗中的篩選器操作,勾選剛才建立的“阻止”,再切換到IP篩選器清單,勾選剛才建立的IP篩選清單“封禁445端口”,然後單擊應用,再單擊關閉,然後單擊“确定”。
(15)重複第14步的步驟,點選添加按鈕,重複勾選IP篩選清單和篩選器操作,并應用,確定生成所有的安全規則,然後點選确定。可見本地組政策編輯器中生成了一條防範勒索病毒的政策,且目前“政策已指派”狀态為“否”。
(16)點選建立好的防範勒索病毒政策,右鍵後點選“配置設定”,然後“政策已指派”狀态就變成了“是”,說明此政策已生效。配置全部完成。
3
網絡環境排查
通過态勢感覺裝置篩選内網SMB攻擊找到内網攻擊源,排查出疑似被攻擊的裝置,對疑似被攻擊的裝置重點進行殺毒。
4
利用備份恢複業務
因為勒索病毒具有潛伏性,是以不排除備份中也含有勒索病毒,需要對備份檔案進行排查,确認無病毒之後再執行恢複。
5
檔案解密
第四步不成功的情況下,因為資料不重要的可以選擇重新部署業務,資料十分重要的可以支付贖金,也可以選擇市面上一些勒索病毒檔案恢複軟體嘗試性恢複,因為部分勒索病毒源碼已經公開,當然此項操作成功率極低。
6
大規模殺毒
整個網絡内裝置進行殺毒,可以聯系合作的安全産商提供測試EDR授權。
7
溯源
利用裝置的日志記錄、網絡連接配接、程序資訊、密碼憑據等進行溯源,此項操作成功率不高。
8
損失挽回
如果已經購買EDR并且實施完成,可以向安全服務廠商進行一定的索賠。
四、防護手段
1
更新Samba協定
SMB 1包含易受攻擊的漏洞,是以将系統更新到SMB2或者更高的版本是有效防範勒索病毒的手段。
2
流量監控
增加态勢感覺裝置,并将流量全部鏡像接入,可以對攻擊事件進行實時的監控并友善後期複盤。
3
EDR
購買EDR并定時更新病毒庫,目前主流的安全廠商病毒庫都會一周更新一次,更新時間有所差別。
4
日志單獨存儲
搭建日志伺服器對日志進行單獨存儲,日志是溯源的重要依據。
5
備份容災
對關鍵業務進行容災備份。
6
網絡安全制度
建立嚴格的網絡安全制度并執行到位,有應急方案才不會事到臨頭手足無措。
五、總結
勒索病毒日益猖獗,為了避免造成資産的損失,需要引起足夠的重視,防患于未然。
須知曉,船到江心補漏遲。