勒索病毒处置经验分享 _勒索病毒

勒索病毒事件愈来愈多
近期针对传统行业的勒索病毒攻击事件愈来愈多，甚至一天内会有多家同一行业的企业同时受到攻击，造成企业业务运营中断，个人和公司重要数据遭受破坏等严重安全问题。

这种情况一方面说明勒索病毒攻击已经开始组织化和行业化，另一方面也说明传统行业在信息安全方面防护能力脆弱，相比于互联网、金融等行业，在信息安全管理和安全技术方面存在更多漏洞，更容易成为勒索病毒攻击的对象。

勒索病毒危害分析
机器感染勒索病毒后，使用人员会很快发现许多常见的文件如word ， Excel ， pdf等不能正常打开，异常现象明显，因此很容易发现并上报到IT或安全部门，如果处置及时，一般不会造成企业内大量机器感染。

但是另一方面，由于勒索病毒使用了非对称加密方式对机器上的所有数据文件进行加密，如果没有对应的解密密钥，被加密后的文件基本不可能再被解密和还原。因此对已经感染勒索病毒的个人电脑和服务器，如果之前没有及时进行数据备份，可能会因为关键数据丢失而造成无法挽回的损失。

如何正确处置勒索病毒感染事件
根据我们之前处理勒索病毒事件总结的经验，企业在发现一台或多台机器感染勒索病毒后， IT人员和安全人员可按照如下流程进行正确处置（如果企业没有设置信息安全岗位，建议立即联系第三方专业安全服务公司协助处置）。

文章插图

3.1 确认勒索病毒感染迹象

l 勒索病毒感染后，桌面或文件夹通常会出现类似how_to_decrypt.hta网页文件，可通过浏览器打开，主要是英文信息，显示勒索提示信息及解密联系方式等；
l 同时很多文件被加上乱七八糟的带有勒索病毒攻击者邮箱地址信息的后缀名，文件不能被正常打开；（类似如下截图）

文章插图

3.2 隔离已感染机器，避免勒索病毒进一步扩散

对存在上述勒索病毒感染迹象的机器，应立即实施网络或物理隔离，避免勒索病毒通过公司有线和无线网络继续传播。隔离方法包括：

已感染的无线上网机器，禁用无线网卡；
已感染的有线上网用户，禁用有线网卡，同时拔掉机器的物理网线；
如果同一网段有多台机器感染，可通过交换机进行断网，或修改无线网络密码；
已感染关键岗位电脑和重要服务器，立即关机，避免勒索病毒进一步加密所有文件；
专人整理感染机器列表，供后续处置；

3.3 对暂未感染勒索病毒的机器进行加固，防止可能的感染途径

勒索病毒感染一台机器后，会通过文件共享、操作系统远程利用漏洞、账号弱密码等方式，进一步获取其它机器或AD服务器的账号，从而进行全网络感染。

对暂未明确发现感染勒索病毒迹象的机器，基于勒索病毒的传播方法和传播途径，可采取一些基本的安全措施快速进行防护，避免感染。这些安全措施包括：