[热点] 勒索软件“wannacry"应急预案策略

[复制链接]
查看: 1256|回复: 0

44

主题

78

帖子

780

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
780

SRC部落文库认证VIP会员专家顾问团文库巡逻文库游侠限定版文库段子手荣誉管理

发表于 2017-5-13 13:31:13 | 显示全部楼层 |阅读模式
我们已经注意到这一次的全球大规模勒索软件网络攻击并且在分析样本,对于这一次的勒索软件网络攻击来说是目前规模最大感染最多的一次。

勒索目标
教育机构/学校机房
一切可以攻击的公共设备
医院系统计算机
政府机关计算机
个人PC/笔记本

引用微博电商报的微博帖子
注意!国内高校突发比特币病毒,很多高校已沦陷!全球突发比特币病毒事件!英国16家医院遭到大范围网络攻击,电脑被锁定,黑客索要每家医院支付近400万人民币赎金,否则将删除所有资料。目前比特币病毒在全球蔓延,外网已经闹的沸沸扬扬。更重要的是,国内部分高校反映教育网电脑大面积中了比特币勒索........

11.jpg
微博截图
2.jpg
高校电脑大面积沦陷
3.jpg
我们在分析样本
1.jpg
群里朋友发的也中招了
4.jpg
自助加油设备也中招了 汗

这次的比特币勒索事件必须重视起来 在还没有杀毒公司出杀毒对策,这边我给大家几个方法。
个人/PC电脑
下载我们提供的已经策略来屏蔽端口 137 138 139 445 开启防火墙 启动windows升级到最新版本
下面是我们自己做的屏蔽端口的一个批处理文件来保护未被勒索的计算机

在此提醒广大师生:
1.目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010;对于XP、2003等微软已不再提供安全更新的机器,推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
      2.安装正版操作系统、Office软件等。
      3.关闭445、137、138、139端口,关闭网络共享;
      4.强化网络安全意识,“网络安全就在身边,要时刻提防”:不明链接不要点击,不明文件不要下载……
      5.尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘/U盘/网盘上。
免疫工具下载地址:
http://dl.360safe.com/nsa/nsatool.exe
已经被勒索感染的个人或企业用户
1:立即断网。

2:立即检查病毒加密时间。(观察文件修改时间)
规则A:立即断电或关机。若勒索加密病毒运行加密的时间在0-2小时内,根据你的主机文件个数和数据容量多少,一般情况下1小时内病毒会加密完成,若你的文件个数和容量比较大,病毒加密时间会时间更长。
规则B:不要关机,如果你发现加密时间已经超过5小时以上,这是你就是关机也没有用了,所以建议不要关机,这是病毒进程还在内存,对于破解病毒来说,很多密钥可能在内存或缓存文件,关机会导致这些重要的数据丢失或改变或覆盖,不利于后面的数据解密。

3:杀毒软件
往往中毒的主机杀毒软件都没有防守住,所以它杀不掉病毒,目前据我们的统计,杀毒软件是无法直接解密数据的,所以一般情况下,无需运行杀毒软件(此时杀毒软件进程多数被终止了),也无需安装新的杀毒软件,因为这些操作都会删除部分感染文件,对于重要被感染的数据万一被杀毒软件清除,就不利于数据恢复。

4:寻找专业机构。
数据被病毒加密勒索,十万火急,特别是wallet病毒,往往加密对象是服务器主机,严重影响企业日常运行,但是我们建议是,慌乱之中不要急。坚持专业途径解决问题。
规则A:勒索病毒恶性程度很高,采用高级的加密算法,非专业人士自己不要尝试,以免感染别的主机扩大故障
规则B:寻求专业的数据恢复公司,寻找专业人员协助解密。
规则C:不要轻易交纳赎金,这样会助长犯罪分子的气焰,另外黑客犯罪分子一般在国外,支付比特币赎金后如何保障付款安全,风险极大,我们已经碰到过用户付钱后,仍然无法解密数据的案例。

个人/企业服务器
这边要说下阿里云的工单应急方案
加密勒索病毒应急处理方案
随着遭恶意软件感染的风险持续增加,感染途径也日新月异,以每天、每小时的速度快速的散播。阿里云安全团队已经意识到恶意软件日益猖獗的问题,如果在系统中发现有文件被加密或者桌面显示勒索信息,说明该系统感染了勒索软件,目前已知的勒索软件多数是通过邮件进行传播,针对勒索软件请您依据如下方案解决:

一.遭遇勒索软件?不要付钱给勒索软件
如果您的业务不幸中招加密勒索软件,建议您不要向勒索者交付赎金恢复数据。
二.自己尝试恢复数据
要想对加密文件进行行解密是很困难的,最有效的方式是通过之前的备仹进行恢复。如果您没有额外的备份数据,您可以寻找一些安全厂商发布的工具集尝试解密数据,但随着加密勒索软件对抗的不断升级,加密勒索软件可以在很短的时间内出现变种,不一定保障数据能够恢复成功。
解密工具:
作为安全厂商,目前世界上大部分勒索病毒都是被卡巴司机实验室攻破,感谢卡巴斯基安全厂商为防御勒索软件做出的贡献,更多勒索软件也请随时关注:
以下举例常见的XTBL和Wallet加密勒索软件详情:
病毒名称:
  • XTBL(可以解密)
  • Wallet(暂时无法解密)
病毒类型:
勒索病毒
勒索动机:
黑客勒索受利益驱使,不接受现金,使用bitcoin进行勒索交易)
利用手法:
AES或 RSA算法批量加密上百种后缀文件类型或者应用程序,并且把原来的文件名后缀为:xxxxx@aol.com或者 xxxxx@ india.com.wallet
危险等级:
高危
入侵手段:
远程控制协议漏洞(RDP弱口令),远程密码泄露。也可以利用其它任何利用方式进行升级演变入侵方式。
病毒特征:
黑客留下了他们的联系方式在所有的被加密文件上,
XTBL病毒感染样例:
8.png
WALLET病毒感染样例:
9.png
三.安全规范的恢复数据
  • 建议重新部署系统或回滚之前正常状态的快照,并对操作系统和业务代码进行安全加固;
  • 修改所有管理端口的账号和密码,并配置强口令,建议使用安全组策略对管理端口和管理后台禁止开放到互联网,仅开放业务端口
  • 恢复完毕后,立即对ECS配置定期快照策略,同时做好异地数据备份工作;4.对业务全面的安全检查,及时修复发现的漏洞问题,如果您没有专业的技术人员,可以选用阿里云云盾安全管家服务协助您对业务进行排查和加固。
四.应付勒索软件攻击电脑的必要措施
勒索软件已成为不具备高级防御系统的用户之一大隐忧。为了防止恶意软件感染,以下提供几个步骤及诀窍,让你免于成为下一个勒索软件的牺牲者。
  • 注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。如果有条件,建议全量备份,如数据量过大,可以选择不定期的实时全量+增量备份混合方案,推荐快照方案和OSS异地备份;
  • 如果需要远程管理,使用ECS安全组确保它是白名单的IP的防火墙或不暴露到互联网,把RDP、SSH、FTP或其他重要内网管理后台隐藏起来,仅限于内网访问,降低暴露在互联网被攻击的风险;
  • 安装企业级防病毒软件,推荐:赛门铁克、卡巴斯基商用防病毒软件,Linux服务器可以安装Clam;
  • 安装最新版本的安全补丁:过时的操作系统或软件相对容易成为勒索软件的攻击目标,这也是为何需要定期运行软件及操作系统更新的原因——可强化你电脑的安全性;5.恶意软件经常将使用远程桌面协议 (Remote Desktop Protocol, RDP) 视为主要目标。不需要远程访问时即停用 RDP,便可有效阻挡来自恶意软件的攻击。
    • 配置好密码策略;
    • 修改远程控制账户密码,做好密码的管理工作;
    • 定期更新管理员账号名称和密码更新策略;6.提高安全意识,做好数据安全防护措施。




回复 印象

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

精彩图文
在线客服(工作时间:9:00-22:00)
400-600-6565
安全文库公众号

Copyright   ©2015-2016  安全文库应急响应中心  Powered by©上海盾客网络科技有限公司  技术支持:安全文库    ( 闽ICP备15007866号-2 )