■ 江蘇 朱賢斌

編者按： 近年來勒索病毒盛行，給個人和企業(yè)造成了無可挽回的損失，本文從實戰(zhàn)出發(fā)，以實例進(jìn)行勒索病毒的應(yīng)急演練，并給出相關(guān)防護(hù)建議。

從20世界60年代開始，惡意軟件就與信息技術(shù)的發(fā)展相生相伴。隨著科技的不斷進(jìn)步，惡意軟件本身也在不斷演變，從蠕蟲病毒、廣告軟件、流氓軟件、木馬軟件，乃至今天的勒索軟件，惡意軟件制作者已從最初的技術(shù)炫耀變成了如今直接的利益所取。例如2017年的Wannacry勒索病毒，對受害企業(yè)重要數(shù)據(jù)造成嚴(yán)重?fù)p失。

網(wǎng)絡(luò)黑客使用的系列勒索手段包括：頻繁創(chuàng)建虛假網(wǎng)站，吸引潛在勒索對象游覽；借助網(wǎng)站內(nèi)釣魚軟件，掃描用戶電腦操作系統(tǒng)及游覽器所含安全漏洞；向用戶電腦內(nèi)輸送勒索軟件，繼而鎖死電腦或加密數(shù)據(jù)，要求用戶支付“贖金”，以換取解除鎖定的“密鑰”。

演練目的

圖1 演練網(wǎng)絡(luò)拓?fù)鋱D

為了讓用戶認(rèn)識到勒索病毒的危害，所以很有必要還原勒索病毒入侵，以及發(fā)生勒索病毒安全事件后，迅速的應(yīng)急響應(yīng)和應(yīng)急處置，通過應(yīng)急演練，來提高我們的網(wǎng)絡(luò)安全意識和技能。

演練環(huán)境

筆者此次使用VMware Workstation搭建兩臺虛擬機(jī)，模擬攻擊者和被攻擊者，攻擊者使用Kali-Linux系統(tǒng)，被攻擊者使用Windows 7系統(tǒng)。拓?fù)淙鐖D1所示。

勒索病毒攻擊

1.攻擊者首先使用Nmap端口掃描工具對被攻擊者進(jìn)行端口掃描和漏洞檢測。經(jīng)過掃描，此臺虛機(jī)開啟了445（SMB） 和 3389（RDP）端口，這些端口屬于易被攻擊的端口。

2.利用Nmap自帶的漏洞檢測腳本對445端口進(jìn)行掃描,結(jié)果顯示存在高危漏洞，漏洞編號MS17-010。

3.該漏洞極易被利用進(jìn)行遠(yuǎn)程控制，使用遠(yuǎn)程桌面登錄受控電腦，上傳勒索病毒（詳細(xì)過程省略）。

4.本次使用的勒索病毒為 GANDCRAB V5.0.4，運 行之后將文件加密，文件被添加.yqqhahnck后綴，無法正常打開，受控端桌面被替換成勒索信息，并留下索要贖金的.txt文件。

應(yīng)急響應(yīng)流程

根據(jù)相關(guān)技術(shù)標(biāo)準(zhǔn)，信息安全事件應(yīng)急響應(yīng)工作流程主要有預(yù)防預(yù)警、事件報告與先期處置、應(yīng)急處置、應(yīng)急結(jié)束和后期處置。應(yīng)急響應(yīng)工作流程如圖2所示。

1. 事件報告與先期處置

勒索病毒事件發(fā)生后，相關(guān)部門做好先期處置的同時應(yīng)立即組織研判，并做好信息通報工作。

2.應(yīng)急處置

勒索病毒屬于有害程序事件，該類事件的應(yīng)急處置措施，一是及時將被感染的設(shè)備與其他設(shè)備進(jìn)行隔離；二是采取有效措施對有害程序清除。通常采取的措施如下：

（1）當(dāng)發(fā)現(xiàn)信息系統(tǒng)感染有害程序時，工作人員應(yīng)立即對感染的設(shè)備或程序進(jìn)行確認(rèn)并上報部門領(lǐng)導(dǎo)。情況緊急的，應(yīng)先采取隔離、清除、暫停等處理措施，再進(jìn)行事件報告。

（2）在確認(rèn)受感染的設(shè)備后，應(yīng)立即將該設(shè)備與其他設(shè)備進(jìn)行隔離，并對其進(jìn)行數(shù)據(jù)備份，同時啟動備用設(shè)備保持應(yīng)用的連續(xù)性。

（3）啟用反有害程序系統(tǒng)對設(shè)備進(jìn)行查殺處理，同時對其他設(shè)備進(jìn)行有害程序掃描和清除。清除工作完成后，對各類設(shè)備進(jìn)行安全加固，避免有害程序的再次感染。

圖2 應(yīng)急響應(yīng)工作流程圖

圖3 顯示被添加了惡意賬戶hacker

（4）如發(fā)現(xiàn)反有害程序軟件無法清除的，應(yīng)立即向本級信息安全主管部門報告，情況嚴(yán)重的，應(yīng)根據(jù)信息安全事件級別及時向上級主管部門匯報。

（5）在確認(rèn)病毒、蠕蟲等有害程序被徹底根除之后，可恢復(fù)系統(tǒng)運行。如果已啟用備用設(shè)備的，應(yīng)切換回原設(shè)備。

（6）如果受感染設(shè)備是主服務(wù)器并被多家單位和用戶訪問過，在報上級主管部門批準(zhǔn)后，信息系統(tǒng)主管部門應(yīng)履行通告義務(wù)，告知各相關(guān)單位開展有害程序掃描和清查工作。

根據(jù)以上工作流程，本次演練作如下應(yīng)急處置：

首先將受控端斷開網(wǎng)絡(luò)連接，并逐一登錄同網(wǎng)段其他服務(wù)器，確認(rèn)是否感染勒索病毒，并緊急啟動備份服務(wù)器，將數(shù)據(jù)恢復(fù)至最近備份狀態(tài)。

然后對受控端進(jìn)行排查：

對受控端進(jìn)行全盤病毒掃描，發(fā)現(xiàn)存在惡意程序；

檢查系統(tǒng)帳號，發(fā)現(xiàn)被添加了惡意賬戶hacker，如圖3所示；

查看受控端的日志，發(fā)現(xiàn)攻擊者登錄記錄，如圖4所示；

檢查受控端的進(jìn)程，存在勒索病毒惡意進(jìn)程HQnew.exe，如圖5所示；

檢查受控端是否存在高危漏洞、賬戶弱口令等安全風(fēng)險，發(fā)現(xiàn)存在Windows遠(yuǎn)程命令執(zhí)行漏洞，漏洞編號為MS17-010；

對勒索病毒進(jìn)行分析，確認(rèn)勒索病毒類型為GandCrab5.0.2版本，該病毒目前無法解密，如圖6所示。

再對受控端進(jìn)行安全加固：

使用殺毒軟件清除服務(wù)器上殘留的病毒程序；

關(guān) 閉 445、135、137、138、139 等不必要的端口，關(guān)閉網(wǎng)絡(luò)共享，關(guān)閉Workstation等服務(wù)；

修改管理員密碼為高強(qiáng)度的復(fù)雜密碼，重命名系統(tǒng)管理員帳戶；

安裝操作系統(tǒng)補(bǔ)丁MS17-010；

使用漏掃工具和基線核查工具對受控端進(jìn)行安全掃描，根據(jù)報告，進(jìn)一步做安全加固，確保沒有高、中、低危漏洞和安全配置缺陷。

3.應(yīng)急結(jié)束和后期處置

當(dāng)信息安全事件得到妥善處置后，可按照程序結(jié)束應(yīng)急響應(yīng)。對此次勒索病毒事件進(jìn)行總結(jié)，從管理角度和技術(shù)角度來預(yù)防勒索病毒事件的發(fā)生。

圖4 在受控端日志中發(fā)現(xiàn)攻擊者登錄記錄

圖5 發(fā)現(xiàn)存在勒索病毒惡意進(jìn)程HQnew.exe

圖6 顯示該病毒目前無法解密

應(yīng)及時對系統(tǒng)進(jìn)行安全掃描，并及時更新操作系統(tǒng)補(bǔ)??；嚴(yán)格管理第三方軟件的使用，并保證及時更新；加強(qiáng)對系統(tǒng)的監(jiān)控、審計與管理；定期對上傳的Web網(wǎng)頁文件進(jìn)行比對，包括文件的創(chuàng)建、更新時間、文件大小等；定期維護(hù)升級網(wǎng)站服務(wù)器，檢查服務(wù)器所存在的漏洞和安全隱患；使用U盤等移動存儲設(shè)備進(jìn)行數(shù)據(jù)交換前要先進(jìn)行病毒檢查，同時禁用U盤的自動播放功能；定期做好系統(tǒng)和重要數(shù)據(jù)的備份。

建議

在平時使用計算機(jī)過程中，怎樣有效的免遭勒索病毒的攻擊，給出以下建議：

1.養(yǎng)成良好的習(xí)慣

計算機(jī)必須安裝殺毒和安全防護(hù)軟件，安全軟件提示的各類風(fēng)險行為不要輕易放行；定期更新病毒庫，及時更新系統(tǒng)補(bǔ)丁和第三方應(yīng)用軟件；使用高強(qiáng)度的復(fù)雜密碼，包括英文字母、數(shù)字、特殊字符的組合，定期更換密碼，不同賬戶使用不同的密碼；重要文件及時備份，定期做全備，適時做增備。

2.減少危險的上網(wǎng)操作

不要游覽不良信息網(wǎng)站，這些網(wǎng)站經(jīng)常會掛馬或釣魚；不要輕易打開陌生人發(fā)來的電子郵件，或訪問不明的網(wǎng)絡(luò)鏈接；不要輕易打開后綴名為 js、vbs、wsf、bat等腳本文件和exe、scr等可執(zhí)行程序，在網(wǎng)絡(luò)上接收的文件，先殺毒再打開。