为帮助更多的组织单位有效应对勒索病毒威胁|避免成为下一个受害者:勒索病毒急救响应篇( 二 )


建立并实施自带设备安全策略 , 检查并隔离不符合安全标准(没有安装反恶意软件、反病毒文件过期、操作系统需要关键性补丁等)的设备;
建立并实施权限与特权制度 , 使无权限用户无法访问到关键应用程序、数据、或服务;
制定备份与恢复计划 , 最好能将备份文件离线存储到独立设备 。
完善急救措施
针对大型单位或者有溯源需求的组织 , 在急救过程需要注意保留现场 , 避免给后续做防御加固、解密恢复带来困难 。
1.梳理资产 , 确认灾情
尽快判断影响面 , 有利于后续工作开展及资源投入 , 确认感染数量、感染终端业务归属、感染家族等详情 。 梳理的表格可参考如下:
为帮助更多的组织单位有效应对勒索病毒威胁|避免成为下一个受害者:勒索病毒急救响应篇
文章图片
2、保留现场 , 断开网络
尽快断网 , 降低影响面 , 保留现场 , 不要轻易重启或破坏(若发现主机还没完成加密的情况 , 可以即刻断电 , 交给专业安全人员处理) , 避免给后续溯源分析、解密恢复带来困难 。
3、确认诉求 , 聚焦重点
确认诉求 , 是勒索病毒应急响应的核心 。
受害组织必须明确核心诉求 , 比如数据解密、加固防御、入侵分析(溯源取证)、样本分析、企业内网安全状况评估等 , 应急响应人员则根据核心诉求 , 按照紧急程度依次开展工作 。
4、样本提取 , 数据收集
提取系统日志:将C:WindowsSystem32winevtLogs目录拷贝一份到桌面 , 然后在桌面上将其压缩为以感染主机命名的压缩包 , 例如:192.168.1.1-windows-log.zip
提取加密文件:选取若干文件较小的被加密文件 , 留作后面解密尝试 , 以及用于判断勒索病毒家族 。
判断病毒文件是否还在加密
使用everything文件检索工具 , 搜索被加密文件 , 比如文件加密后缀为“Ares666” , 那么就搜索“*.Ares666” , 按修改时间排序 , 观察是否有新的被加密文件 , 如果正在产生新加密文件 , 立刻关机 , 关机后可将磁盘进行刻录用来分析;如果已经停止加密 , 则继续进行后续步骤 。
收集系统日志文件
Windows系统日志目录为“C:WindowsSystem32winevtLogs” , 可以整个打包下来 。 (整体文件比较大 , 可进行压缩 , 直接压缩可能会失败 , 原因是文件被占用 , 将Logs目录拷贝到桌面再压缩即可 。 )
采集家族信息
被加密的文件不是病毒样本 , 因此可把完整的加密后缀、勒索文本/弹窗一起保存或截图保存 , 如果截图则截图要完整和清晰 。
查找病毒文件
勒索病毒文件通常都比较新 , 可以使用everything搜索“*.exe” , 按修改时间(或创建时间)排序 , 通过目录和文件名猜测可能的病毒文件 , 一般可能性比较大的目录包括:
“C:WindowsTemp”
“C:Users[user]AppDataLocalTemp”
“C:Users[user]Desktop”
“C:Users[user]Downloads”
“C:Users[user]Pictures”等等 。
5、判断家族 , 尝试解密
通过深信服EDR官网根据勒索信息文件和加密后缀进行家族搜索 , 从而确认病毒家族 , EDR官网网址如下:
https://edr.sangfor.com.cn/#/information/ransom_search
如果该病毒家族有解密工具 , 可直接进行下载 , 注意需要将原加密数据备份后再进行解密 , 谨防损坏后永久性丢失数据 。
6、溯源取证 , 封堵源头
通过对主机日志、安全产品日志的详细排查 , 定位入侵来源 , 还原攻击过程 , 尽快对攻击入口进行封堵 。 一般来说通过文件修改时间 , 确定各个主机之间的先后感染顺序 , 一般情况下 , 最开始被感染的主机 , 即内网入侵点之所在 。
7、加固防御 , 以绝后患