1勒索軟件防范應對指南二、感染勒索軟件應急響應操作流程（2）要做好網絡隔離，阻止勒索軟件橫移帶來的進一步危（8）要全面加固系統，及時修改密碼，修復漏洞，防止被234服務器或主機感染勒索軟件后，辦公文檔、照片、視頻等下面為感染勒索軟件后，幾種典型的文件后綴名被篡改或56備的WiFi、藍牙，斷開設備連接的無線網絡，禁用網卡（包括響應結束，加固完成后，再接入網絡。如果確實因業務制策略，對于大量設備，可修改網絡設備ACL配置達到網絡層隔離的目的。附錄E提供了常見網絡設備配置ACL訪問控制策7（1）若發現設備中主要的工作或個人文檔還未被加密，則（2）若發現數據文件均已被加密，則建議保留現場，不要（三）勒索軟件攻擊事件分析感染勒索軟件最明顯的癥狀是主機桌面被篡改，大量文件8需要注意的是，應急排查時勒索軟件可能仍在運行，因此步驟1：截圖取證。發現設備感染勒索軟件后，第一時間9步驟2：判斷勒索軟件家族類型。利用空移動存儲設備從可上傳的信息包括：勒索信、加密文件、勒索軟件留下的郵箱、來源國內https://stopransomwa/國外https://id-ransomware.malwa/rahttps://www.nomoreransom.or件后綴，并按照修改時間（ModifiedTime）排可以通過查看勒索加密前新增的可疑文件和查看進程兩種如果勒索軟件還在運行中，則可以在進程列表中找到它。使用文件搜索工具Everything搜索被加密文件，比如文原始文件可能會比較大，壓縮后會通過前面查找勒索樣本步驟，如果發現了勒索樣本或其它可以利用計算機管理功能檢查是否存在異常用戶、陌生用在命令提示符中使用netuserUserName來查看用戶b）使用PChunter等工具查看進程信息，檢查是否存在聯系專業的安全企業或惡意代碼逆向分析人員對前面收集查看感染設備所在網絡環境的網絡拓撲、業務邏輯架構、對潛在影響區域內的信息系統進行排查，重點排查信息系制關鍵生產設施（例如域控主機然后通過特定方式（例如域策略、PsExec遠程連接執行等）在內網中傳播勒索軟件。在入侵過程中，攻擊者會使用很多類似APT組織的滲透攻擊手段，a）在域控主機C:\Windows\SYSVOL\domain\scripts目錄被攻擊單位可聯系專業應急響應團隊或者專業安全機構團nn份有限公司公司64n（四）風險處置與安全加固可以通過手動或殺毒工具清除病毒，但由于很多勒索軟件對于一些不具備自動傳播功能的勒索軟件，可以手動清除很多安全廠商提供了殺毒軟件，有的還提供了勒索軟件專?徹底刪除發現的可疑程序、病毒文件。如果發現可疑文對于Web系統，可利用安全設備的弱口令發現功能檢測弱典，對操作系統的SSH、RDP、SMB、MySQL、Oracle、Redis等12個字符，采用大小寫字母、數字、特殊符號至少兩種以上的獲取系統的漏洞情況；二是手動滲透測試，使用cmd輸入命令WindowsSMBv1遠程代碼執行Windows遠程桌面服務（RDP）遠程代碼執洞WindowsSMBv3遠程代碼執行權用戶訪問關鍵信息系統，降低關鍵信息系統的暴露面；部署網絡側企業內部可以加強網絡安全域的隔離以及同網段內令具體可以參考Windows:https://lolbas-project.github.io（五）數據恢復加密數據恢復方式主要有兩種：一是利用備份數據恢復；信息系統和數據。若備份數據也被勒索軟件加密，可利用數據來源國內https://stopransomwa/國外https://id-ransomware.malwa/rahttps://www.nomoreransom.or解密前可先將勒索信息文件和待解密文件拷貝到虛擬機環來源國內https://stopransomwa/fangl國外具/ransomware-de/en-us/ransomware-de/en/decrypt/blog/labs/thttps://id-ransomware.malwarehunterteam具/enterprise/en-ustools/ransomware-decryp/portal_k/ransomware-dec不建議向攻擊者支付贖金，一則間接助長了攻擊者氣焰，（六）上報主管部門發生重要勒索攻擊事件后，事發單位應按照國家相關規定勒索軟件(Ransomware)，又稱勒索病毒，是指以加密數據、鎖定設備、損壞文件為主要攻擊方式,使計算機無法正常使用或（1）加密本地文件：遍歷本地磁盤文件，加密系統文件以外的大部分后綴文件，例如數據庫文件、Office文檔、圖片、（2）加密局域網共享設備：掃描感染設備相同網段中的網（3）加密磁盤：直接對磁盤進行整體加密或加密分區表數（4）竊取數據：在部署勒索軟件之前，竊取內網中重要數（5）內網滲透：勒索軟件攻擊者常常在攻陷一臺設備后，（6）上傳隱私信息：上傳用戶國家/地區、IP地址、安裝（7）刪除備份數據：勒索軟件常常通過刪除備份數據、禁Defender實時保護功能，或通過Powershell腳本命令關（三）釣魚郵件、垃圾郵件惡意代碼偽裝在郵件附件中，格式多為Word文檔、Excel（四）利用系統與軟件漏洞攻擊（五）網站掛馬（六）僵尸網絡網絡犯罪分子將僵尸網絡的訪問權限以出租或直接出售的形式絡來發起一個大規模的垃圾郵件活動。2019年起僵尸網絡開始（七）軟件供應鏈攻擊軟件供應鏈攻擊是指利用軟件供應商與最終用戶之間的信（八）移動介質勒索軟件存在于移動介質中，如U盤和移動硬盤等載體，間無無高無無高MS17-010高WindowsXP、Windows高Win2003、WinXP、Win7、WWindowsALPC無高高高安全的第三方庫。WeblogicWLS高安全的第三方庫。Apache高Apache高無高證無高高高高Nexus無高NexusRepositoryMa態的功能，用戶需要在72小時之內通過比特幣、MoneyPak或GameoverZeuS僵尸網絡遭到執法機關關閉后被分離出來。司法Phobos勒索軟件家族是近期活躍度非常高的勒索軟件，該勒索軟件家族于2019年初被發現，早期由于該家族的代碼與2021年2月，該勒索軟件攻擊了立訊精密工業股份有限公下次引導時加密NTFS文件系統文件表，完全阻止系統引導進GlobeImposter勒索軟件出現于2017年，國要求院方必須在六小時內為每臺感染機器支付1比特幣贖金才GandCrab勒索軟件在2018-2019年時非常活躍，執行過程流，索要400-1200美元不等的贖金運行過程中使用反射式DLL注入技術將勒索程序注入到內存中加密除.exe、.dll、.sys、.lnk等擴展名外的所有文件。值得（ScottishEnvironmentProtectionAgency，簡稱SEPA并在十、REvil/SodinokibiREvil（又稱Sodinokibi）組織善于使用Web組件Nday漏洞和PulseSecureVPN漏洞對相關企業進行攻擊，該團伙是勒索產組織。該組織和GandCrab組織有著千絲萬縷的關系，分析人2020年5月，服務于全球影視娛樂巨星的一家紐約律師事務所成為REvil病毒攻擊的受害者，包括LadyGaga、麥當娜等鎖超市之一的Coop受此供應鏈勒索攻擊事件影響被迫關閉全國組織在黑客論壇上非常活躍，擁有RaaS（勒索軟件即服務）模算法加密文件；可以感染Windows和Linux系統。DarkSide采不支付贖金就將其數據公開。DarkSid通過收集有關受害者的信息，據對DarkSide勒索軟平均業務停機時間為5天。DarkSide勒索軟件的攻擊者已經建Pipeline遭到網絡攻擊，該起攻擊導致美國東部沿海主要頭東芝的一家子公司承認遭受網絡安全攻擊，據報道是由成為首家同時使用加密文件和竊取用戶數據兩種手段進行勒索數據，這其中包括：中國搜狗、佳能、DailyThermetrics、Cognizant、STEngineering等知名公司。該組織由于不守信導致其名聲受損而宣布停止運營Maze勒索軟件家族。但經過跟蹤發現該組織并非真正關閉Maze而是改名換姓轉為投遞egregor圾郵件活動和僵尸網絡以及漏洞利用工具包進行分發，通過CobaltStrike和PowerShellEmpireGRIMSPIDER幕后操作運營，GRIMSPIDER是一個網絡犯罪集團，至今一直活躍。2020年數個大型工控企業包括鋼鐵、采礦、工業建筑等行業受到Ryuk勒索軟件攻擊，導致企業部分服務器癱悉，Ryuk黑客組織的大多數收入，是通過Binance和Huobi的Ryuk組織以攻擊美國醫療保健行業的傾向而出名，該團伙主要針對美國和加拿大的組織。它最出名的攻擊行動是在2020謀求外部合作以獲取更大的利益。在安全研究人員于2021年22021年，據外媒報道，保險巨頭安盛集團在泰國、馬來西亞、中國香港和菲律賓的分公司遭到了勒索軟件網絡攻擊，壓文件，運行后釋放勒索軟件程序并執行。DoppelPaymer勒索勒索信內容和支付贖金網頁較為相似，故懷疑DoppelPaymer勒CTBGMX工廠遭受了該組織的攻擊，該組織聲稱加密了大約序號間密1“永恒之藍”漏是2無否3無是4釣魚郵件、捆綁軟件、僵尸播可解密5永恒之藍漏洞、種暫時無法解密，6Necurs僵尸無否7無否8無否9無RDP爆破、釣無否RDP爆破、釣無否是釣魚郵件、惡意軟件、RDP用是否垃圾郵件、僵尸網絡、漏洞利用工具包、解無RDP爆破、垃無否CVE-2021-40444ntNightmare漏洞里提供常見的網絡設備建議的配置方法，僅供網絡管理人員參Juniper設備配置示例：setfirewallfamilyinetfilterdeny-WannaCrytermdeny445fromprotocoltcpsetfirewallfamilyinetfilterdeny-WannaCrytermdeny445fromdestination-port445setfirewallfamilyinetfilterdeny-WannaCrytermdeny445thendiscardsetfirewallfamilyinetfilterdeny-WannaCrytermdefaultthenaccept#在全局應用規則setforwarding-optionsfamilyinetfilter#在三層接口應用規則setinterfaces[需要掛載的三層端口名稱]unit0familyifilteroutputdeny-WannaCrysetinterfaces[需要掛載的三層端口名稱]unit0familyi華三（華三（H3C）設備配置示例：新版本:aclnumber3050ruledenytcpdestination-port445interface[需要掛載的三層端口名稱]packet-filter3050inboundpacket-filter3050outboundaclnumber3050rulepermittcpdestination-port445trafficclassifierdeny-WannaCryif-matchacl3050trafficbehaviordeny-WannaCryfilterdenyqospolicydeny-WannaCryclassifierdeny-WannaCrybehaviordeny-WannaCry#在全局應用qosapplypolicydeny-WannaCryglobalinboundqosapplypolicydeny-WannaCryglobaloutbound#在三層接口應用規則interface[需要掛載的三層端口名稱]qosapplypolicydeny-WannaCryinboundqosapplypolicydeny-WannaCryoutbound華為設備配置示例：ttsetfirewallfamilyinetfilterdeny-WannaCrytermdeny445fromprotocoltcpsetfirewallfamilyinetfilterdeny-WannaCrytermdeny445fromdestination-port445setfirewallfamilyinetfilterdeny-WannaCrytermdeny445thendiscardsetfirewallfamilyinetfilterdeny-WannaCrytermdefaultthenaccept#在全局應用規則setforwarding-optionsfamilyinetfilteroutputdeny-WannaCrysetforwarding-optionsfamilyinetfilterinputdeny-WannaCry#在三層接口