人手必备！勒索病毒应急自救手册 _勒索病毒

一、背景
自2017年5月WannaCry（永恒之蓝勒索蠕虫）大规模爆发以来，勒索病毒已成为对企事业单位等各类组织直接威胁最大的一类木马病毒。勒索病毒通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击，将会使绝大多数文件被加密算法修改，并添加一个特殊的后缀，且用户无法读取原本正常的文件，对用户造成无法估量的损失。
二、勒索病毒中毒特征
勒索病毒的主要目的既然是为了勒索，那么黑客在植入病毒完成加密后，必然会提示受害者您的文件已经被加密了无法再打开，需要支付赎金才能恢复文件。所以，勒索病毒有明显区别于一般病毒的典型特征。如果服务器出现了以下特征，即表明已经中了勒索病毒。
1. 业务系统无法访问
勒索病毒的攻击不再局限于加密核心业务文件；转而对企业的服务器和业务系统进行攻击，感染企业的关键系统，破坏企业的日常运营。
2. 电脑桌面被篡改
服务器被感染勒索病毒后，最明显的特征是电脑桌面发生明显变化，即：桌面通常会出现新的文本文件或网页文件，这些文件用来说明如何解密的信息，同时桌面上显示勒索提示信息及解密联系方式，如下图：

文章插图

服务器感染勒索病毒后，另外一个典型特征是：办公文档、照片、视频等文件的图标变为不可打开形式，或者文件后缀名被篡改，并且使得文件无法正常打开。

文章插图

三、自救措施
? 正确处置方法
(一)隔离中招主机
当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，隔离主要包括物理隔离和访问控制两种手段。
①物理隔离
物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关闭无线网络。
②访问控制
a.避免将远程桌面服务（RDP ，默认端口为3389）暴露在公网上，并关闭445、139、135等不必要的端口。
b.将服务器密码修改为高强度的复杂密码。
隔离的目的，一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器；另一方面是为了防止黑客通过感染主机继续操控其他服务器。
有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播，如WannaCry勒索病毒，一旦有一台主机感染，会迅速感染与其在同一网络的其他电脑，且每台电脑的感染时间约为1-2分钟左右。所以，如果不及时进行隔离，可能会导致整个局域网主机的瘫痪，造成无法估量的损失。
(二)排查业务系统
在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。
另外，备份系统如果是安全的，就可以避免支付赎金，顺利的恢复文件。
所以，当确认服务器已经被感染勒索病毒后，并确认已经隔离被感染主机的情况下，应立即对核心业务系统和备份系统进行排查。
? 错误的处置方法
(一)使用移动存储设备
当确认服务器已经被感染勒索病毒后，在中毒电脑上使用U盘、移动硬盘等移动存储设备。当电脑感染病毒时，病毒也可能通过U盘等移动存储介质进行传播。所以，当确认服务器已经被感染勒索病毒后，切勿在中毒电脑上使用U盘、移动硬盘等设备。
(二)读写中毒主机上的磁盘文件
当确认服务器已经被感染勒索病毒后，反复读取磁盘上的文件可能会而降低数据正确恢复的概率。
四、勒索病毒排查
1. 文件排查
（1）开机启动有无异常文件
【开始】?【运行】?【msconfig】
（2）各个盘下的 temp(tmp)相关目录下查看有无异常文件