勒索病毒处置经验分享( 二 ) _勒索病毒

根据我们处置勒索病毒的经验，可优先从以下几方面进行，包括：
和感染机器人员进行深入沟通，如什么时间发现异常，之前执行过哪些操作等，可帮助快速定位可能的病毒感染源；
通过任务管理器，查看CPU、内存、IO使用率高的可疑进程（特别是文件很多的机器，勒索病毒加密需要占用大量机器资源）；
安装病毒查杀工具，快速查找病毒文件，如火绒、360、clamav、BitDefender等；
安装其它系统安全工具，包括微软提供的SysinternalsSuite安全工具（autoruns64.exe ， procexp64.exe ， procmon.exe ， tcpview.exe等）， PCHunter ，火绒剑等进行分析；

通过以上操作，安全人员应该可以查找出勒索病毒文件和执行进程，可进一步通过在线病毒查杀引擎快速对病毒文件进行确认，如：www.virustotal.com ， www.virscan.org等网站。

对确认为勒索病毒的可执行文件，可进一步通过在线沙盘快速进行行为分析，如s.threatbook.cn ， App.any.run等，确认病毒行为特征。如通过微步云沙箱对某个伪装成svchost.com文件的勒索病毒分析结果：

文章插图

确认勒索病毒行为特征后，可通过停止勒索病毒进程，新建文件并观察，启动勒索病毒进程，查看文件是否被加密，进一步确认勒索病毒。

3.5 根据病毒特征，全网筛查感染机器

通过提取的勒索病毒文件名、文件路径、文件大小、文件签名、md5值、进程路径和名称等特征，可通过域控、单机或专业桌面管理工具等进行操作，迅速进行全网排查。对存在感染勒索病毒特征的机器，进行断网隔离，并删除勒索病毒文件和进程，同时持续监控是否继续感染。

另外基于勒索病毒的网络行为特征，可进一步通过交换机镜像流量分析，查找网络内是否存在已感染机器。

3.6 已感染机器处置

已感染勒索病毒的机器，可通过停止勒索病毒进程，删除保护进程或文件的方法，禁止勒索病毒运行。同时通过U盘备份未加密文件。

文件备份后，统一重新安装操作系统，并按照安全基线进行加固和检测后，部署应用和恢复数据。

3.7 勒索病毒感染溯源

勒索病毒感染途径一般包括：外网服务器存在漏洞(如应用层漏洞， RCE高危补丁未更新，账号弱密码等) ，钓鱼邮件附件，长期隐藏存在的APT攻击等。

勒索病毒溯源可通过对最初感染机器的人员操作行为和操作系统日志分析，企业内网络设备和安全设备日志分析等，进一步追溯原始漏洞和入侵方式。

3.8 修复感染源漏洞
【勒索病毒处置经验分享】
如果能够追溯到最初的感染源，可有针对性地进行安全加固。如果不能追溯到原始安全漏洞，也应根据勒索病毒传播方式进行安全加固，包括安全意识宣讲，外网安全漏洞扫描和渗透，防病毒软件安装、安全补丁更新等。

3.9 安全事件总结

根据勒索病毒溯源结果， IT或安全负责人应对勒索病毒感染源情况进行说明，对感染机器、数据损失、恢复情况、恢复时间和费用等进行说明。

3.10 制定后续安全加固方案

企业感染勒索病毒的根本原因必然是在安全技术或安全管理方面存在某些漏洞，如没有安装防病毒软件对勒索病毒文件进行查杀，非IT部门员工缺乏基础的信息安全意识，随意保存和打开勒索病毒可执行文件等。这些当前存在的和潜在的各种安全漏洞和安全风险需要及时处置，并最终在多层次、多阶段建立一个统一的纵深安全防御体系。

新钛云服可以基于安全最佳实践并结合企业安全现状，从远程办公、网络安全边界、终端准入、桌面管理、防病毒、数据防泄密、日常安全服务等多方面为企业提供合适的安全防护解决方案，同时也可以在安全规范、安全意识培训等方面提供帮助。