陆英

关于勒索病毒，很多朋友经常会问这样的问题：

企业还没有中勒索，但领导很害怕，该如何防范，有哪些建议和指导？

企业已经中了勒索，该如何快速进行应急响应，有哪些建议和指导？

作为一名安全应急响应人员，该如何处理勒索病毒，给客户提供哪些勒索病毒防范措施和应急响应指导呢？企业要做好安全防护，主要从以下几个方面入手：

（1）部署可靠高质量的防火墙、安装防病毒终端安全软件，检测应用程序、拦截可疑流量，使防病毒软件保持最新，设置为高强度安全防护级别，使用软件限制策略防止未经授权的应用程序运行。

（2）及时更新电脑上的终端安全软件，修复最新的漏洞。

（3）关闭不必要的端口，目前发现的大部分勒索病毒通过开放的RDP端口进行传播，如果业务上无需使用RDP，建议关闭RDP。

（4）培养员工的安全意识，这点非常重要，如果企业员工不重视安全，迟早会出现安全问题，安全防护的重点永远在于人，人是最大的安全漏洞，企业需要不定期给员工进行安全教育的培训，与员工一起开展安全意识培训、检查和讨论。

设置高强度的密码，不定期进行密码更新，避免使用统一的密码，统一的密码会导致企业多台电脑被感染的风险，此前一个企业，内网的密码都使用同一个，导致企业内部多台电脑被勒索加密。

所有的软件都由IT部门统一从正规的网站进行下载，进行安全检测之后，再分发给企业内部员工，禁止员工自己从非正规的网站下载安装软件。

企业内部使用的office等软件，要进行安全设置，禁止宏运行，避免一些恶意软件通过宏病毒的方式感染主机。

从来历不明的网站下载的文档，要经过安全检测才能打开使用，切不可直接双击运行。

谨慎打开来历不明的邮件，防止被邮件钓鱼和垃圾邮件攻击，不要随便点击邮件中的不明附件、快捷方式或网站链接等，防止网页挂马和利用漏洞攻击。

不定期进行安全攻防演练、模拟攻击等，让员工了解黑客有哪些攻击手法。

给员工进行勒索病毒感染实例讲解，用真实的勒索病毒样本，进行模拟感染攻击，让员工了解勒索病毒的危害。

（5）养成良好的备份习惯，对重要数据和文档进行定期非本地备份，使用移动存储设备保存关键数据，定期测试保存的备份数据是否完整可用。

勒索病毒的特征一般都很明显，会加密磁盘的文件，并在磁盘相应的目录生成勒索提示信息文档或弹出相应的勒索界面，如果发现文档和程序无法打开，磁盘中的文件被修改，桌面壁纸被替换，甚至出现提示相应的勒索信息，要求支付一定的赎金才能解密，说明你的电脑中了勒索病毒。

企业中了勒索病毒后的应急方法，主要从以下几个方面入手：

（1）隔离被感染的服务器主机

拔掉中毒主机网线，断开主机与网络的连接，关闭主机的无线网络WiFi和蓝牙连接等，并拔掉主机上的所有外部存储设备。

（2）确定被感染的范围

查看主机的所有文件夹、网络共享文件目录、外置硬盘、USB驱动器以及主机云存储中的文件等，是否已经全部被加密了。

（3）确定是被哪个勒索病毒家族感染的，在主机上进行溯源分析，查看日志信息。

主机被勒索病毒加密之后，会在主机上留下一些勒索提示信息，可以先去加密后的磁盘目录找到勒索提示信息，有些勒索提示信息有这款勒索病毒的标识，显示是哪一种勒索病毒，比如GandCrab的勒索提示信息，最开始都标明了是哪一个版本的GandCrab勒索病毒，可以先找勒索提示信息，再进行溯源分析。

溯源分析一般通过查看主机上保留的日志信息以及主机上保留的样本信息，通过日志判断此勒索病毒可能是通过哪种方式进来的。比如发现文件被加密前某个时间段有大量的RDP爆破日志，并成功通过远程登录过主机，然后在主机的相应目录发现了病毒样本，猜测这款勒索病毒可能是通过RDP进来的。如果日志被删除了，就只能去主机上找相关的病毒样本或可疑文件，通过这些可疑文件来猜测可能是通过哪种方式进来的。例如有些可能是通过银行类木马下载传播的，有些是通过远控程序下载传播的，有些是通过网页挂马方式传播的，还可以去主机的浏览器历史记录中寻找相关的信息。

（4）找到病毒样本，提取主机日志、进行溯源分析之后，关闭相应的端口、网络共享并打上相应的漏洞补丁，修改主机密码，安装高强度防火墙、防病毒软件等采用这些措施，防止被二次感染勒索。

（5）进行数据和业务的恢复，如果主机上的数据存在备份，则可以还原备份数据、恢复业务。如果主机上的数据没有备份，可以在确定是哪种勒索病毒家族之后，到解密工具网站查找相应的解密工具，但遗憾的是，现在大部分流行勒索病毒并没有解密工具。如果数据比较重要，业务又急需恢复，可以考虑使用以下方式尝试恢复数据和业务：

通过一些磁盘数据恢复手段，恢复被删除的文件。

跟一些第三方解密中介或直接通过邮件方式联系黑客进行协商解密（但不推荐）。可能就是因为现在交钱解密的企业越来越多，导致勒索病毒家族变种越来越多，攻击越来越频繁，很多企业中了勒索病毒后就暗地交钱解密了。

现在很多勒索病毒使用邮件或解密网站，要求受害者通过这些网站进行解密操作，都是使用BTC进行交易，而且功能非常完善，下面分析一下最近很流行的Sodinokibi勒索病毒的解密网站：

网站的主机提示你被加密了，需要支持0.24790254的BTC（=2500美元），如果超过了时间限制，则可能需要支付0.49580508的BTC（=5000美元）

黑客还担心受害者不知道BTC是什么，事实上有些企业中了勒索，想交赎金，但不知道BTC从哪里来，于是黑客就给出了详细的步骤教受害者如何进行解密，以及如何購买BTC操作等。

黑客还建议受害者通过https：//www.blockchain.com/ explorer网站注册BTC钱包，购买相应的BTC，再将BTC转入黑客的BTC钱包帐户，同时黑客还提示了多种方式可以购买BTC的链接，如下所示。

甚至还贴出来了相应的链接，指导受害者如何购买BTC的详细教程等。

同时黑客还怕受害者不相信可以解密，表示可以帮受害者免费解密几个文件，但不包含大的数据文件，只能是10 MB以下的。

黑客还开通了聊天窗口，受害者可以跟黑客进行沟通协商，讨价还价等。

从上面可以看出黑客为了让受害者交付赎金，做了一个专门的网站进行指导，说明这款勒索病毒背后一定是有一支强大的运营团队。

不建议企业向黑客支付BTC，也不建议企业找第三方中介解密，因为这样会促长这个行业的不断增加，其实现在大部分勒索病毒最终都是无法解密的，请各企业做好相应的防范措施，按上面的一些指导方法和建议进行勒索病毒的防御，勒索病毒的重点在于防御！