[點(diǎn)晴永久免費(fèi)OA]勒索病毒來襲！教你如何做好數(shù)據(jù)防護(hù)

當(dāng)前位置：點(diǎn)晴教程→點(diǎn)晴OA辦公管理信息系統(tǒng) →『經(jīng)驗(yàn)分享&問題答疑』

admin

2024年6月28日 11:30 本文熱度 1096

1.背景

勒索病毒是一種惡意軟件，其目的是通過加密受害者的文件或鎖定計(jì)算機(jī)系統(tǒng)來勒索錢財(cái)。通常文件會(huì)統(tǒng)一一種后綴，并且會(huì)在每個(gè)文件夾中生成txt、html、hta格式的勒索信，勒索信會(huì)告知您的計(jì)算機(jī)已被加密，需支付比特幣到比特幣錢包中方可獲取解密密鑰或恢復(fù)訪問權(quán)限，并且會(huì)留下黑客的郵箱比特幣錢包地址，便于受害者聯(lián)系及支付贖金。

勒索病毒的攻擊過程依賴于加密，加密文件會(huì)生成一對密鑰。其中之一是解密密鑰，它成為訪問文件的唯一方法，受害者通過支付贖金的方式才能獲取解密密鑰。然而，支付贖金并不一定能獲得解密密鑰或工具，例如攻擊者言而無信，選擇“撕票”，在收到贖金后銷聲匿跡，或者提供的密鑰無法正常解密。因此，我們在此分享關(guān)于勒索病毒防范和處理的相關(guān)指南，希望能夠幫助大家更好地應(yīng)對這類威脅。

詳情可參考: 【病毒分析】交了贖金也無法恢復(fù)--針對國內(nèi)某知名NAS的LVT勒索病毒最新分析

2. 勒索病毒常見傳播途徑

2.1 遠(yuǎn)程桌面協(xié)議（RDP）暴力破解

RPD暴露在互聯(lián)網(wǎng)弱口令使得攻擊者可以輕易地通過暴力破解進(jìn)入目標(biāo)系統(tǒng)。成功獲取RDP訪問權(quán)限后，攻擊者可以直接操作系統(tǒng)，無需繞過其他復(fù)雜的安全措施。由于RDP通常用于遠(yuǎn)程管理服務(wù)器和計(jì)算機(jī)，攻擊者可以輕松地在網(wǎng)絡(luò)內(nèi)傳播勒索病毒。

詳情案例可見：【成功案例】RDP暴露引發(fā)的蝴蝶效應(yīng)：LockBit組織利用MSF工具及永恒之藍(lán)漏洞進(jìn)行勒索入侵

2.2 漏洞利用

很多企業(yè)在使用某OA及財(cái)務(wù)系統(tǒng)后，未定期做漏洞掃描，導(dǎo)致軟件系統(tǒng)存在多個(gè)漏洞存在，從而使得攻擊者利用Nday輕松獲取系統(tǒng)權(quán)限，個(gè)別攻擊者會(huì)利用高危漏洞被披露后的短時(shí)間內(nèi)，利用1Day對暴露于網(wǎng)絡(luò)上并存在有漏洞未修復(fù)的機(jī)器發(fā)起攻擊。

詳情案例可見：【緊急警示】Locked勒索病毒利用最新PHP遠(yuǎn)程代碼執(zhí)行漏洞大規(guī)模批量勒索！文末附詳細(xì)加固方案

2.3 釣魚郵件

攻擊者會(huì)對目標(biāo)用戶進(jìn)行打點(diǎn)信息收集，獲取到目標(biāo)用戶的郵箱信息后，進(jìn)行偽造并批量發(fā)送，往往目標(biāo)多為財(cái)務(wù)人員及高管，通常發(fā)送的附件多為“人社部發(fā)〔2023〕161號(hào)文：公司與個(gè)人繳納比例最新調(diào)整”、“發(fā)票.rar”等進(jìn)行命名，配合話術(shù)使目標(biāo)用戶降低防備心從而點(diǎn)擊運(yùn)行附件，最終攻擊者通過釣魚獲取受災(zāi)主機(jī)權(quán)限直接運(yùn)行勒索病毒文件，將受災(zāi)主機(jī)數(shù)據(jù)全部加密。

詳情案例可見：【緊急警示】Locked勒索病毒針對財(cái)務(wù)人員的釣魚及勒索攻擊激增！企業(yè)財(cái)務(wù)電腦及系統(tǒng)資產(chǎn)遭勒索加密，風(fēng)險(xiǎn)不容忽視！

2.4 數(shù)據(jù)庫入侵

用戶不當(dāng)配置數(shù)據(jù)庫后，導(dǎo)致暴露在互聯(lián)網(wǎng)，攻擊者可利用端口掃描+弱口令爆破結(jié)合進(jìn)行攻擊，從而獲取數(shù)據(jù)庫賬號(hào)密碼，使用SQL命令獲取服務(wù)器權(quán)限。

詳情案例可見：【成功案例】間隔數(shù)月雙團(tuán)伙先后利用某ERP0day實(shí)施入侵和勒索的解密恢復(fù)項(xiàng)目

3. 勒索病毒的危害

3.1 數(shù)據(jù)丟失

勒索病毒會(huì)加密受災(zāi)用戶計(jì)算機(jī)系統(tǒng)的大部分文件，導(dǎo)致無法正常使用和訪問，攻擊者通常使用不同類型的加密，從對稱加密（如 AES 或 DES）到需要公鑰和私鑰的非對稱加密再到結(jié)合兩者的雙重加密。勒索病毒攻擊正變得越來越頻繁和復(fù)雜，其目的是防止任何沒有密鑰的反向操作。

因此如果受災(zāi)用戶沒有做數(shù)據(jù)備份，并且選擇不支付贖金或支付贖金后仍未獲得解密密鑰，那么數(shù)據(jù)可能會(huì)永久丟失。

案例：英國國家醫(yī)療服務(wù)體系（NHS）近日透露，24年6月初Synnovis醫(yī)療組織遭到俄羅斯勒索軟件組織“麒麟”（Qilin）攻擊，導(dǎo)致倫敦多家醫(yī)院受到影響，由于數(shù)據(jù)被加密且未做備份，被迫取消了數(shù)百項(xiàng)手術(shù)計(jì)劃和門診預(yù)約。

3.2 業(yè)務(wù)中斷

當(dāng)勒索病毒感染企業(yè)的關(guān)鍵系統(tǒng)（如生產(chǎn)系統(tǒng)、財(cái)務(wù)系統(tǒng)等）時(shí)，這些系統(tǒng)服務(wù)等應(yīng)用會(huì)被強(qiáng)制停運(yùn)，導(dǎo)致系統(tǒng)無法正常訪問和使用，直接影響企業(yè)的正常運(yùn)營。

案例：美國醫(yī)療保健巨頭阿森松醫(yī)院（Ascension）24年5月中旬遭遇了Black Basta勒索軟件團(tuán)伙攻擊，導(dǎo)致旗下140個(gè)醫(yī)院和40個(gè)高級護(hù)理機(jī)構(gòu)運(yùn)營中斷，電子健康記錄系統(tǒng)、在線醫(yī)療平臺(tái)、電話系統(tǒng)、配藥系統(tǒng)等重要信息基礎(chǔ)設(shè)施嚴(yán)重癱瘓，該醫(yī)院已經(jīng)聘請了第三方專家團(tuán)隊(duì)協(xié)助進(jìn)行調(diào)查和補(bǔ)救，再次期間只能通過手動(dòng)操作及紙質(zhì)記錄方式向患者提供必要的線下服務(wù)。

3.3 經(jīng)濟(jì)損失

因勒索病毒加密復(fù)雜，很多受災(zāi)用戶被迫支付贖金以恢復(fù)對其數(shù)據(jù)的訪問。贖金金額通常較高，從幾千美元到幾百萬美元不等；但部分攻擊者言而無信，收到贖金后不提供密鑰或者已讀不回，也存在收到贖金后將竊取的數(shù)據(jù)二次交易或公開，更加劇了損失。

案例：24年2月醫(yī)療技術(shù)公司Change Healthcare遭受勒索病毒攻擊，攻擊團(tuán)伙是一個(gè)總部位于俄羅斯的勒索軟件團(tuán)伙，稱為ALPHV。該組織本身聲稱對這次攻擊負(fù)責(zé)，聲稱它竊取了超過六TB的數(shù)據(jù)，包括“敏感”醫(yī)療記錄。本次攻擊使母公司UnitedHealth Group（UHG）花費(fèi)了超過8.72億美元來應(yīng)對這次攻擊帶來的后果，這些成本的一部分涉及向數(shù)千家供應(yīng)商提供加速付款和無息、免費(fèi)貸款。另一部分專門用于事件響應(yīng)和從頭開始完全重建Change Healthcare的系統(tǒng)。事后，ALPHV團(tuán)伙收到贖金后銷聲匿跡，沒有按照約定將部分贖金分給負(fù)責(zé)竊取數(shù)據(jù)的附屬機(jī)構(gòu)，導(dǎo)致該附屬機(jī)構(gòu)RansomHub再次索要贖金，未果后公開了部分?jǐn)?shù)據(jù)并有意交易其余數(shù)據(jù)。

3.4 聲譽(yù)損失

如果客戶數(shù)據(jù)被加密或泄露，客戶對企業(yè)的信任度會(huì)下降，導(dǎo)致客戶流失和業(yè)務(wù)機(jī)會(huì)減少，并且勒索病毒攻擊通常會(huì)引起媒體廣泛關(guān)注，負(fù)面報(bào)道會(huì)損害企業(yè)的品牌形象，特別是對知名品牌而言。

案例：20年8月初著名數(shù)碼攝像機(jī)廠商佳能(Canon)遭受的Maze勒索病毒攻擊，導(dǎo)致超過 10TB 的數(shù)據(jù)被盜。即使佳能第一時(shí)間官方提供解決方案但客戶對佳能已經(jīng)產(chǎn)生了質(zhì)疑，導(dǎo)致信任度下降，并且由于大量負(fù)面新聞報(bào)道也影響了佳能的市值和在市場的地位。

4. 全流程教程

4.1 防止擴(kuò)散

4.1.1 隔離感染的設(shè)備

若發(fā)現(xiàn)自己的電腦或者服務(wù)器已被感染勒索病毒，需立即斷開感染設(shè)備的網(wǎng)絡(luò)連接，包括有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)，以防止該病毒橫向擴(kuò)散。

從受感染的設(shè)備（如PC、服務(wù)器）上拔掉網(wǎng)線，立即切斷其與網(wǎng)絡(luò)的物理連接。

如果設(shè)備通過Wi-Fi連接，關(guān)閉設(shè)備上的Wi-Fi連接功能，也可以在無線訪問點(diǎn)或無線控制器上將受感染設(shè)備的MAC地址列入黑名單，禁止其連接。

4.1.2 通知相關(guān)人員和部門

在隔離完成后，立即通知公司相關(guān)人員及部門同步感染情況，讓部門調(diào)派人員進(jìn)行下一步處置操作，部門收到消息后，緊急同步給公司所有人員，讓后續(xù)其他受災(zāi)用戶及時(shí)聯(lián)系部門。

4.1.3 阻止進(jìn)一步傳播

方法一：通過交換機(jī)斷開網(wǎng)絡(luò)連接

若公司有部署交換機(jī)，管理員可登錄到交換機(jī)管理界面（通常是通過Web界面或命令行界面），在交換機(jī)管理界面中，找到相應(yīng)的端口并將其禁用。

方法二：通過本地防火墻封鎖網(wǎng)絡(luò)端口

在防火墻上封鎖常用的勒索病毒傳播端口（如SMB端口445、3389遠(yuǎn)程桌面端口等），可根據(jù)所中招的勒索病毒進(jìn)行信息收集確認(rèn)后進(jìn)行封禁，在防火墻管理界面中添加規(guī)則，阻止特定端口的入站和出站流量。

方法三：掃描企業(yè)所有設(shè)備是否中招

若公司有部署相關(guān)網(wǎng)絡(luò)設(shè)備，可以掃描網(wǎng)絡(luò)中的其他設(shè)備，檢查是否有其他設(shè)備受到感染。

4.1.4 關(guān)停勒索病毒軟件

windows系統(tǒng)可查看任務(wù)管理器中CPU占有率最高的程序定位是否為勒索病毒程序，同時(shí)按下【Ctrl + Shift + Esc】鍵或右鍵單擊任務(wù)欄的空白處選中任務(wù)管理器。

4.2 數(shù)據(jù)備份

當(dāng)發(fā)現(xiàn)系統(tǒng)感染了勒索病毒后，需立即進(jìn)行數(shù)據(jù)備份可以確保未被加密或未受影響的數(shù)據(jù)得到保護(hù)。這可以防止勒索病毒進(jìn)一步擴(kuò)散和加密更多的文件，對數(shù)據(jù)進(jìn)行備份也是為了確保后續(xù)恢復(fù)期間出現(xiàn)問題可以及時(shí)回滾。

4.2.1 Windows Server Backup

打開服務(wù)器管理器，點(diǎn)擊“添加角色和功能”，勾選Windows Server Backup對其進(jìn)行安裝，根據(jù)需求對其進(jìn)行全備份、增量備份或差異備份，備份完成后可以在備份目標(biāo)看到相應(yīng)的備份文件。

4.2.2 第三方軟件進(jìn)行備份

可利用微PE及DiskGenius軟件相結(jié)合進(jìn)行數(shù)據(jù)備份，使用微PE制作U盤后，重啟進(jìn)入BIOS，通過DiskGenius軟件選擇需要備份的硬盤數(shù)據(jù)進(jìn)行備份

詳情可參考: 【教程分享】服務(wù)器數(shù)據(jù)文件備份教程

4.2.3 快照虛擬機(jī)

VMware可以選擇拍攝快照進(jìn)行數(shù)據(jù)備份，顧名思義將此刻的的系統(tǒng)狀態(tài)進(jìn)行存檔（包含了所有的內(nèi)容），后續(xù)想要返回這個(gè)時(shí)間節(jié)點(diǎn)點(diǎn)擊快照管理器此刻存檔點(diǎn)即可恢復(fù)。

4.3 安全加固項(xiàng)檢查

4.3.1 啟動(dòng)項(xiàng)

方法一：運(yùn)行框

【W(wǎng)in+R】打開運(yùn)行框，輸入【msconfig】命令，在【系統(tǒng)配置】框中單擊【啟動(dòng)】選項(xiàng)卡，可查看啟動(dòng)項(xiàng)的詳細(xì)信息。

方法二：文件夾

訪問以下路徑可查看啟動(dòng)項(xiàng)目錄下是否非業(yè)務(wù)程序在該目錄下。

C:\Users\用戶名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

方法三：注冊表

【W(wǎng)in+R】打開運(yùn)行框，輸入【regedit】命令打開注冊表，可通過注冊表查看開機(jī)啟動(dòng)項(xiàng)是否正常，尤其需要注意以下三個(gè)注冊表，檢查右側(cè)是否存在異常的項(xiàng)目并清除殘留病毒或木馬

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

4.3.2 計(jì)劃任務(wù)

方法一：運(yùn)行框

【W(wǎng)in+R】打開運(yùn)行框，輸入【control】命令打開控制面板，點(diǎn)擊任務(wù)計(jì)劃程序，查看計(jì)劃任務(wù)屬性，便可以發(fā)現(xiàn) 木馬文件的路徑。

方法二：schtasks命令

通過cmd命令框輸入schtasks命令，通過命令行界面靈活管理Windows計(jì)劃任務(wù)

4.3.3 網(wǎng)絡(luò)連接

端口連接情況

查看服務(wù)器端口連接情況，判斷是否有遠(yuǎn)程連接、可疑連接，通過以下命令可以查看

netstat -ano |more

若不確定IP是否可疑，可結(jié)合微步對IP進(jìn)行信息查詢

微步情報(bào)社區(qū)鏈接

https://x.threatbook.com/

程序定位

如若確定可疑IP和端口，可使用tasklist命令進(jìn)行進(jìn)程定位，快速確認(rèn)該程序是什么

tasklist /scv|findstr "PID"

在確定程序名稱后，可使用everything進(jìn)行程序文件定位

可疑進(jìn)程

【W(wǎng)in+R】打開運(yùn)行框，輸入【msinfo32】命令打開系統(tǒng)信息，依次點(diǎn)擊 "軟件環(huán)境 -- 正在運(yùn)行任務(wù)"，可以查看到進(jìn)程的詳細(xì)信息，比如進(jìn)程路徑、進(jìn)程ID、文件創(chuàng)建日期以及啟動(dòng)時(shí)間等。

4.3.4 賬號(hào)排查

方法一：net user命令

通過cmd命令框輸入net user，查看系統(tǒng)中創(chuàng)建的用戶。

DefaultAccount：這是Windows 10中的一個(gè)預(yù)設(shè)賬戶，通常在新安裝的系統(tǒng)中會(huì)出現(xiàn)。它在用戶首次登錄前提供了一個(gè)臨時(shí)的、有限的用戶體驗(yàn)。這個(gè)賬戶通常不顯示在登錄屏幕上，并且沒有密碼保護(hù)。WDAGUtilityAccount：這是Windows Defender Application Guard (WDAG) 的服務(wù)賬戶。WDAG是Windows 10的一個(gè)安全功能，允許用戶在隔離的環(huán)境中運(yùn)行不受信任的應(yīng)用程序和瀏覽器會(huì)話，以防止惡意軟件對主操作系統(tǒng)的影響。WDAGUtilityAccount是與這項(xiàng)功能相關(guān)聯(lián)的服務(wù)賬戶，用于管理和運(yùn)行WDAG的相關(guān)進(jìn)程。Guest：Guest賬戶是Windows操作系統(tǒng)中的一個(gè)標(biāo)準(zhǔn)設(shè)置，用于提供有限的訪客或臨時(shí)用戶訪問權(quán)限。Guest賬戶通常處于限制模式，擁有最低限度的系統(tǒng)權(quán)限，并且通常無法安裝軟件或更改系統(tǒng)設(shè)置。它設(shè)計(jì)用于短期或不常用的臨時(shí)訪問。

可以查看指定用戶的信息，比如上次登錄時(shí)間

net user administrator

方法二：運(yùn)行框

【W(wǎng)in+R】打開運(yùn)行框，輸入【lusrmgr.msc】命令打開本地用戶和組，可以看到系統(tǒng)中的所有用戶，包括隱藏用戶。