一、勒索病毒介绍
百度百科给勒索病毒的定义是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。众所周知,在windows系统中是可以对文件夹进行加锁的,需要输入指定的密码方可显示文件夹里的内容,勒索病毒的原理与此类似,通过特定的加密算法对文件进行加密,通常情况下很难自行破解,需要拿到解密的私钥才可进行解密。
二、勒索病毒原理
说到勒索病毒首先得说一下什么是公钥和私钥,公钥和私钥是通过一种算法得到的一个密钥对,对外公开的即为公钥,自己保留的即为私钥。公钥和私钥本质上并无区别,皆可进行加密,通过其中一种密钥进行加密则必须通过另外一种密钥进行解密。两种密钥的加密方式应用场景有所不同,公钥加密应用在我们通常理解的加解密,私钥加密应用在数字签名上,以验证身份的合法性。勒索病毒使用的就是公钥加密的手段,病毒的开发者在自己的电脑上通过算法生成公钥1和私钥1,利用病毒在目标设备上随机生成一对密钥对,公钥2和私钥2,利用目标设备上生成的公钥2加密目标数据,利用公钥1加密私钥2,当用户支付赎金后,病毒开发者提供私钥去解密得出目标设备上随机生成的私钥2,从而解密出用户的数据。
三、勒索病毒处置流程
1
设备断网
通过拔网线的方式对感染病毒的设备进行断网处置。
2
内网设备关闭高危端口
在Windows server操作系统上,可以通过IP安全策略禁用本地端口(比较复杂,功能强大,不依赖防火墙),配置步骤如下。(1)首先,Win+R打开运行,输入gpedit.msc进入组策略编辑器。
(2)在左侧边栏中,依次选取 “计算机配置 - Windows 设置 - 安全设置 - IP安全策略,在 本地计算机”。
(3)接下来右键单击 “IP安全策略,在 本地计算机”,并选择“创建IP安全策略”,随后会跳出“IP安全策略向导”界面。
(4)在IP安全策略向导初始界面点击“下一步”,在跳转界面中,配置策略名称并进行描述,然后“下一步”。
(5)在跳转的“安全通讯请求”界面中,不必进行勾选配置,直接点击“下一步”。
(6)勾选“编辑属性”,并点击“完成”。
(7)在随后跳出的防范勒索病毒属性窗口中,单击添加(需要注意的是不要勾选右下角的“使用添加向导”。)。
(8)然后在”新规则 属性”窗口中,单击左下角的“添加”,在IP筛选器列表窗口中,配置IP筛选列表名称,单击右侧的添加按钮,需要注意的是这里也不要点击右下角的”使用添加向导”。
(9)在弹出的IP筛选器属性窗口的地址选项卡中,原地址选择“任何IP地址”,目标地址选择“我的IP地址”。
(10)然后选择协议选项卡,选择协议类型为:TCP,设置IP协议端口为”从任意端口”“到此端口”:135,并单击确定。然后在IP筛选器列表中单击确定。
(11)重复第8、9、10步的操作,添加137、138、139、445规则。
(12)所有的IP筛选列表添加完成后,选择“筛选器操作”选项卡,单击下方的“添加”,并且不要勾选右侧的“使用添加向导”。
(13)在新筛选器操作属性中,选择“阻止”,并切换到常规选项卡,将名称改为阻止,单击确定。
(14)回到新规则属性窗口中的筛选器操作,勾选刚才建立的“阻止”,再切换到IP筛选器列表,勾选刚才建立的IP筛选列表“封禁445端口”,然后单击应用,再单击关闭,然后单击“确定”。
(15)重复第14步的步骤,点击添加按钮,重复勾选IP筛选列表和筛选器操作,并应用,确保生成所有的安全规则,然后点击确定。可见本地组策略编辑器中生成了一条防范勒索病毒的策略,且当前“策略已指派”状态为“否”。
(16)点击创建好的防范勒索病毒策略,右键后点击“分配”,然后“策略已指派”状态就变成了“是”,说明此策略已生效。配置全部完成。
3
网络环境排查
通过态势感知设备筛选内网SMB攻击找到内网攻击源,排查出疑似被攻击的设备,对疑似被攻击的设备重点进行杀毒。4
利用备份恢复业务
因为勒索病毒具有潜伏性,所以不排除备份中也含有勒索病毒,需要对备份文件进行排查,确认无病毒之后再执行恢复。
5
文件解密
第四步不成功的情况下,因为数据不重要的可以选择重新部署业务,数据十分重要的可以支付赎金,也可以选择市面上一些勒索病毒文件恢复软件尝试性恢复,因为部分勒索病毒源码已经公开,当然此项操作成功率极低。
6
大规模杀毒
整个网络内设备进行杀毒,可以联系合作的安全产商提供测试EDR授权。
7
溯源
利用设备的日志记录、网络连接、进程信息、密码凭据等进行溯源,此项操作成功率不高。
8
损失挽回
如果已经购买EDR并且实施完成,可以向安全服务厂商进行一定的索赔。
四、防护手段
1
升级Samba协议
SMB 1包含易受攻击的漏洞,所以将系统升级到SMB2或者更高的版本是有效防范勒索病毒的手段。
2
流量监控
增加态势感知设备,并将流量全部镜像接入,可以对攻击事件进行实时的监控并方便后期复盘。
3
EDR
购买EDR并定时更新病毒库,目前主流的安全厂商病毒库都会一周更新一次,更新时间有所区别。
4
日志单独存储
搭建日志服务器对日志进行单独存储,日志是溯源的重要依据。
5
备份容灾
对关键业务进行容灾备份。
6
网络安全制度
建立严格的网络安全制度并执行到位,有应急方案才不会事到临头手足无措。
五、总结
勒索病毒日益猖獗,为了避免造成资产的损失,需要引起足够的重视,防患于未然。
须知晓,船到江心补漏迟。
以上仅为自己个人观点,请持有不同观点者勿喷。