1 勒索病毒应急响应 自救手册 2.0 2 编写说明 勒索病毒，是伴随 数字货币兴起的 一种新型病毒木马，通常以垃圾 邮件、服 务器入侵、网页挂马、捆绑软件等多种形式 进行传播。机器一旦遭受 勒索病毒 攻 击，将会使绝大多数文件被加密算法修改 ，并添加一个特殊的后缀 ，且用户无法 读取原本 正常的文件 ，对用户造成无法估量的损失。勒索病毒通常利用非对称加 密算法和对称 加密算法组合 的形式来加密文件， 绝大 多数勒索软件均 无法通过 技 术手段解密，必须拿到对应 的解密私钥才有可能无损 还原被加密文件 。黑客正是 通过这样的行为向受害用户勒索高昂的赎金，这些赎金必须通过数字货币支付， 一般无法溯源，因此危害巨大。 自2017年5月WannaCry （永恒之蓝勒索蠕虫）大规模爆发以来，勒索病毒 已成为对政企机构和网民直接威胁最大的一类木马病毒。 近期爆发的 Globelmposter 、GandCrab 、Crysis等勒索病毒，攻击者更是将攻击的矛头对准企 业服务器， 并形成产业化 ；而且勒索病毒的质量和数量的不断攀升， 已经成为政 企机构面临的最大的网络威胁 之一。 为帮助更多的政企机构 ，在遭遇网络安全事件时，能够正确 处置突发的 勒索 病毒，及时采取必要的自救措施，阻止损失扩大，为等待专业救援争取时间。奇 安信集团安服团队结合 1000余次客户现场救援的实践经验，整理了《勒索病毒 应急响应自救手册》 ，希望能对广大政企客户有所帮助。 3 目 录 第一章 常见勒索病毒种类介绍 ................................ ................................ ....................... 5 一、 WANNACRY勒索 ................................ ................................ ................................ ..................... 5 二、 GLOBEIMPOSTER勒索 ................................ ................................ ................................ .............. 6 三、 CRYSIS/DHARMA勒索 ................................ ................................ ................................ ............. 6 四、 GANDCRAB勒索 ................................ ................................ ................................ ..................... 7 五、 SATAN勒索 ................................ ................................ ................................ .......................... 8 六、 SACRAB勒索 ................................ ................................ ................................ ......................... 9 七、 MATRIX勒索 ................................ ................................ ................................ ....................... 10 八、 STOP勒索 ................................ ................................ ................................ ........................ 11 九、 PARADISE勒索 ................................ ................................ ................................ ................. 11 第二章 如何判断病情 ................................ ................................ ................................ ... 14 一、 业务系统无法访问 ................................ ................................ ................................ .......... 14 二、 电脑桌面被篡改 ................................ ................................ ................................ .............. 14 三、 文件后缀被篡改 ................................ ................................ ................................ .............. 15 第三章 如何进行自救 ................................ ................................ ................................ ... 17 一、 正确处置方法 ................................ ................................ ................................ .................. 17 二、 错误处置方法 ................................ ................................ ................................ .................. 18 第四章 如何恢复系统 ................................ ................................ ................................ ... 20 一、 历史备份还原 ................................ ................................ ................................ .................. 20 二、 解密工具恢复 ................................ ................................ ................................ .................. 20 三、 专业人员代付 ................................ ................................ ................................ .................. 20 四、 重装系统 ................................ ................................ ................................ ......................... 21 第五章 如何加强防护 ................................ ................................ ................................ ... 22 一、 终端用户安全建议 ................................ ................................ ................................ .......... 22 4 二、 政企用户安全建议 ................................ ................................ ................................ .......... 22 附