360 勒索病毒应急响应 自救手册 1 编写说明 政企机构遭遇网络安全事件时，如果及时采取必要的自救措施，就能阻止损 失扩大，为等待专业救援争取时间。 自 2017 年 5 月 WannaCry（永恒之蓝勒索蠕虫）大规模爆发以来，勒索病毒 已成为对政企机构和网民直接威胁最大的一类木马病毒。近期爆发的 Globelmposter、GandCrab、Crysis 等勒索病毒，攻击者更是将攻击的矛头对准企 业服务器，并形成产业化；而且勒索病毒的质量和数量的不断攀升，已经成为政 企机构面临的最大的网络威胁之一。 为帮助更多的政企机构，正确处置突发的勒索病毒攻击，360 安服团队结合 1000 余次客户现场救援的实践经验，整理了此份《勒索病毒应急响应自救手册》， 希望能对广大政企客户有所帮助。 2 目 录 第一章 如何判断病情 ........................................................................................................4 一、 业务系统无法访问 ................................................................................................................. 4 二、 电脑桌面被篡改 ..................................................................................................................... 4 三、 文件后缀被篡改 ..................................................................................................................... 5 第二章 如何进行自救 ........................................................................................................7 一、 正确处置方法 ......................................................................................................................... 7 二、 错误处置方法 ......................................................................................................................... 8 第三章 如何恢复系统 ...................................................................................................... 10 一、 历史备份还原 ....................................................................................................................... 10 二、 解密工具恢复 ....................................................................................................................... 10 三、 专业人员代付 ....................................................................................................................... 11 四、 重装系统 ............................................................................................................................... 11 第四章 如何加强防护 ...................................................................................................... 12 一、 终端用户安全建议 ............................................................................................................... 12 二、 政企用户安全建议 ............................................................................................................... 12 360 天擎敲诈先赔服务 .......................................................................................................... 14 360 安服团队 ......................................................................................................................... 15 360 安全监测与响应中心 ...................................................................................................... 16 3 第一章 如何判断病情 如何判断服务器中了勒索病毒呢？勒索病毒区别于其他病毒的明显特征：加 密受害者主机的文档和数据，然后对受害者实施勒索，从中非法谋取私利。勒索 病毒的收益极高，所以大家才称之为“勒索病毒”。 勒索病毒的主要目的既然是为了勒索，那么黑客在植入病毒完成加密后，必 然会提示受害者您的文件已经被加密了无法再打开，需要支付赎金才能恢复文件。 所以，勒索病毒有明显区别于一般病毒的典型特征。如果服务器出现了以下特征， 即表明已经中了勒索病毒。 一、 业务系统无法访问 2018 年以来，勒索病毒的攻击不再局限于加密核心业务文件；转而对企业 的服务器和业务系统进行攻击，感染企业的关键系统，破坏企业的日常运营；甚 至还延伸至生产线——生产线不可避免地存在一些遗留系统和各种硬件难以升 级打补丁等原因，一旦遭到勒索攻击的直接后果就是生产线停产。 比如：2018 年 2 月，某三甲医院遭遇勒索病毒，全院所有的医疗系统均无 法正常使用，正常就医秩序受到严重影响；同年 8 月，台积电在台湾北、中、南 三处重要生产基地，均因勒索病毒入侵导致生产停摆。 但是，当业务系统出现无法访问、生产线停产等现象时，并不能 100%确定 是服务器感染了勒索病毒，也有可能是遭到 DDoS 攻击或是中了其他病毒等原因 所致，所以，还需要结合以下特征来判断。 二、 电脑桌面被篡改 服务器被感染勒索病毒后，最明显的特征是电脑桌面发生明显变化，即：桌 面通常会出现新的文本文件或网页文件，这些文件用来说明如何解密的信息，同 时桌面上显示勒索提示信息及解密联系方式，通常提示信息英文较多，中文提示 信息较少。 下面为电脑感染勒索病毒后，几种典型的桌面发生变化的示意图。 4 三、 文件后缀被篡改 服务器感染勒索病毒后，另外一个典型特征是：办公文档、照片、视频等文 件的图标变为不可打开形式，或者文件后缀名被篡改。一般来说，文件后缀名会 被改成勒索病毒家族的名称或其家族代表标志，如：GlobeImposter 家族的后缀 为.dream、.TRUE、.CHAK 等；Satan 家族的后缀.satan、sicck；Crysis 家族的后 缀有.ARROW、.arena 等。 下面为电脑感染勒索病毒后，几种典型的文件后缀名被篡改或文件图标变为 不可打开的示意图。 5 当我们看到上述三个现象的时候，说明服务器已经遭到勒索病毒的攻击，此 时，如果我们仓促的进行不正确的处置，反而可能会进一步扩大自己的损失。 所以，请保持冷静不要惊慌失措，现在我们需要做的是如何最大化的减少损 失，并阻止黑客继续去攻击其他服务器。具体操作步骤请见下一章。 6 第二章 如何进行自救 当我们已经确认感染勒索病毒后，应当及时采取必要的自救措施。之所以要 进行自救，主要是因为：等待专业人员的救助往往需要一定的时间，采取必要的 自救措施，可以减少等待过程中，损失的进一步扩大。例如：与被感染主机相连 的其他服务器也存在漏洞或是有缺陷，将有可能也被感染。所以，采取自救措施 的目的是为了及时止损，将损失降到最低。 一、 正确处置方法 (一) 隔离中招主机 处置方法 当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，隔离主要包 括物理隔离和访问控制两种手段，物理隔离主要为断网或断电；访问控制主要是 指对访问网络资源的权限进行严格的认证和控制。 1） 物理隔离 物理隔离常用的操作方法是断网和关机。 断网主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关闭 无线网络。 2） 访问控制 访问控制常用的操作方法是加策略和修改登录密码。 加策略主要操作步骤为：在网络侧使用安全设备进行进一步隔离，如防火墙 或终端安全监测系统；避免将远程桌面服务（RDP，默认端口为 3389）暴露在公 网上（如为了远程运维方便确有必要开启，则可通过 VPN 登录后才能访问），并 关闭 445、139、135 等不必要的端口。 修改登录密码的主要操作为：立刻修改被感染服务器的登录密码；其次，修 改同一局域网下的其他服务器密码；第三，修改最高级系统管理员账号的登录密 码。修改的密码应为高强度的复杂密码，一般要求：采用大小写字母、数字、特 殊符号混合的组合结构，口令位数足够长（15 位、两种组合以上）。 处置原理 隔离的目的，一方面是为了防止感