2024勒索病毒应急指南手册.docx

《2024勒索病毒应急指南手册.docx》由会员分享，可在线阅读，更多相关《2024勒索病毒应急指南手册.docx（21页珍藏版）》请在课桌文档上搜索。

1、2024勒索病毒应急响应自救手册目录第一章常勒索病毒种类介绍3WannaCry勒索3Globelmposter勒索4Crysis/Dharma勒索5GandCrab勒索5Satan勒索6Sacrab勒索7Matri勒索8SToP勒索9Paradise勒索10第二章如何判断病情11业务系统无法访问12电脑桌面被篡改12文件后缀被篡改13第三章如何进行自救15正确处置方法15（三）联系专业人员16错误处置方法17第四章如何恢复系统17历史备份还原18解密工具恢复18专业人员代付19重装系统19第五章如何加强防护19终端用广安全建议19政企用尹安全建议20第六章附录：勒索病毒已知被利用漏洞合集21勒

2、索病毒是伴随数字货币兴起的一种新型病毒木通常以垃圾邮件服务器入侵同口挂捆绑软件等多种形式进斤传播。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且用m无法读取原本正常的文件,对用F造成无法估量的损失。勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密攵件绝大多数勒索软件均无法通过技术手段解密必须拿到对应的解密私钥才有可能无损还原被加密文件。裳客正是通过这样的行为向受害用P勒索高昂的赎金这些赎金必须通过数字货币支付一般无法溯源,因此危害巨大。自2017年5月WannaCry（永恒之蓝勒索蠕虫）大规模爆发以来,勒索病毒已成为对政企机构和网民直接威胁最大

3、的一类木口病毒。近期爆发的GlobelmposterGandCrabCrysis等勒索病毒攻击者更是将攻击的矛头对准企业服务器并形成产业化；而且勒索病毒的质量和数量的不断攀升，已经成为政企机构面临的最大的网络威胁之一。为帮助更多的政企机构,在遭遇网络安全事件时能够正确处置突发的勒索病毒及时采取必要的自救措施阻止损失扩大为等待专业救援争取时间。360安服团队结合100O余次客户现场救援的实践经验,整理了勒索病毒应急响应自救手册,希望能对广大政企客户有所帮助。第一章常口勒索病毒种类介绍自2017年永恒之蓝勒索事件之后勒索病毒愈演愈烈，不同类型的变种勒索病毒层出不穷。勒索病毒传播素以传播方式块目标性

4、强著称,传播方式多口于利用永恒之蓝漏洞爆破钓口邮件等方式传播。同时勒索病罂文件一旦被用P点击打开,进入本地就会自动运行,同时删除勒索软件样本以躲避查杀和分析。所以,加强对常口勒索病毒认知至关重要。如果在日常工作中,发现存在以下特征的文件,需务必谨慎。由于勒索病毒种类多至上百种,因此特整理了近期流行的勒索病毒种类、特征及常口传播方式,供大家参考了解：WannaCry勒索2017年5月12日，WannaCry勒索病毒全球大爆发,至少150个国家、30万名用声中招造成损失达80亿美元。Wannaery蠕虫通过MS17-010漏洞在全球范围大爆发感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲

5、诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示需要支付相应赎金方可解密。常口后缀：WnCry传播方式：永恒之蓝漏洞特征：启动时会连接一个不存在url、创建系统服务mssecsvc2.0、释放路径为WindoWS目录WanaDecryptOrZQfl11Ooops,yourfileshavebeenencrypted!Chias(smpl.English我的电脑出了什么问题？您的一些重要文件被我加密保存了。泮neseCtraditi可照片、图片、文档、压缩包、音频、视频文件、exe文件等，几乎;：6文件都被加密了，因此不能正常打开。这和一般文件损坏有本质上的区别。您大可在网

6、上找找恢复文件的Pin。Paymentwillberaisedon保证，没有我们的解密服务，就算老天节来了也不能恢复这些文走5/16/201718:16:24Time1.eftJZ:.二；:二：j.Yourfileswillbeloston有没有恢复这些文档的方法？当然有可恢复的方法。只能通过我们的解密服务才能恢复。我以/够提供安全有效的恢复服务。但这是收费的，也不能无限期的推迟。请点击Decrypt按钮，就可以免费恢复一些文档。请您放心，褊你的。但想要恢复全部文档,需要付款点费用。FinniEhFrenchGermanGreekIndonesianIttlionJapaneseKorean1

7、.atvianNorwegianPolishPortugueseRomanianRussianSlovak5/20/201716:16:24Time1.eftj,.:；:二Ii*Ms,i,1AboutbitcoinKrtobuybitcoins?bitcoinACCEPTEDHERESend$300worthofbitcointothisaddress:12t9YDPgwueZ9NyMgw519p7AA8isjr6SMwCheckPayment是否随时都可以固定金额付款，就会恢复的吗，当然不是，推迟在出呼电时你不利。落然最好3天之内付款费用，过了三天费用就会翻倍。町etaese还有，一个礼拜之

8、内未付款，将会永远恢复不了。时了，忘了告诉你，对半年以上没钱付款的穷人，会有活动免费恢复，能否轮COntaCtUSDecryptGIobeImposter勒索2017年出现2018年8月21日起，多地发生GIobeImposter勒索病毒事件，攻击目标主要是开始远程桌面服务的服务器攻击者通过暴力破解服务器密码,对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密多个版本更新并常通过爆破RDP后手工投毒传播,暂无法解密。常口后缀：auchentoshan动物名+4444传播方式： RDP爆破 垃圾邮件 捆绑软件特征：释放在%appdata%或%localappdata%Allyourdatah

9、asbeenciphered!TheontywayofrecovenngyourfilesistobuyauniquedecryptocAdecryptorisfullyautomatical.aNyourdatawillberecoveredvmhnafewhoursafteritsmsn11wlcmWeassurefullrecoveryafterthepaymentToverifythepossbtyo(therecoveryofyourfilesWecandecipher1fileforfreeAttach1fAetotheletter(morethan3Mb)Indicateyour

10、personal100ntheletter65B8E1ElA33CCA4D30CFEOC83O2F0FD26OM9FDAB6FDCBOE68396A8AF5EF5746OEEFE9C6B358CD8A0CU5C417C2E76CF06071S78Al0?125052BO3CBA1747C2BECO8C2fiCCCE23269CBF894710420275BB727467M034A843842AFFCFD855CF1D65C129G663OFA4ECA9CAF6C0167A017A7B90WD3E913F325CA25DA1992D2C64F5A17774D5A7FC832E50A632832F

11、CCAAW5A14D36OE4564156FO282D3F92799OO11327030806629793)60160197OlC9CDOC338824214CUCS2EFD412A2(M9E2077Dl6155F958A5155RE43748BCQA6033C119BW7046F7D6873F46WD5F1IEFCFE2E1A6Ctt22E6751F8F7EESAEOF5C50M61BF1681AC76EBInreplywe琳祖sendyouandepheredfileandaninstructionforpurchasinganautomaticaldecryptorforallyourf

12、esAfterthepaymentwewsendyouadecryptorandaninstructionsforprotectingyourcomputerfromnetworkVUJnefabIIltleSAttention! OnlyPfotoEMcom.cmdedpteralyourfile 1.auringofantMrusprogramswHnxhelp ChangingcipheredfilesWilresultinalooseofdata AttemptsofdecipheringbyyourselfWiIresultinaboeo(data DecryptocBofother

13、usersareuniqueand启notftyoursanduseof50sewHresultInalooseofdataCrysis/Dharma勒索最早出现在2016年,在2017年5月万转密钥被公布之后,消失了一段时间,但在2017年6月后开始继续更新。攻击方法同样是通过远程RDP爆力破解的方式植入到用声的服务器进行攻击其加密后的文件的后缀名为Java由于CrySiS采用AES+RSA的加密方式,最新版本无法解密。常口后缀：【id】+勒索邮箱+特定后缀传播方式：RDP爆破特征：勒索信位置在startup目录、样本位置在%windir%System32、Startup目录、%appdat

14、a%目录HeiAllyourfileshavebeenencrypted!AllyourflieshavebeenencryptedduetoasecurityproblemwithyourPC.Ifyouwanttorestorethem,writeustotheemailHelipproton（JM计9qo41Hs.XlSW越台UQHp11-decrypt.xyzYotiPCId:YouIiavetopayfordecryptt8Ccnr;.Thr?priceOprfitXOflhoWfavtyouwtttous.ARlarp三ymeffv.Ireedecryption,gcnxethMs

15、EuHNOTBntarvabbktWormMfen. WftesaeshoAlatexceedIMB ASrvdence,wecndeayploneeHoW100btainRilcninThewaytbuybfndbe9msgudehere:http/vwwCCrdc,co11Vnk11EtP/*KwVMnCuybHAttrntionl DcnetrenameCnCryPtedHes DcnottrytodecryptyourdacaUSFpartysoftware,tmaycausePefmanentdataloss Youfeyur-Htogrt(hrdrcypc(fCMYTnrr Asc

16、vfcnoe.WGatdcyotOnCl DonccasIenXattousethearfivrusOfUnnSui:heprogram TEWiIrEtoyourdacCW11du11rrrcvrrbr DfcodCfiofMrusersMSUCdMtodecryptyvrWencyptcnkeyyue勒索信如下样式IX4*(F)4M(E)!三(O)BWV)WBJ（三）Allyourfileshavebeenencryptedcontactusviathee-maillistedbelow.e-mail:SUPPortP-SeCUrity.Iiore-mail:needheplcrycock

17、.IiParadiseRansomwareteam.加密文件后缀：文件名ID字符串勒索邮箱.特定后缀特征：将勒索弹窗和自身释放到Startup旨动目录第二章如何判断病情如何判断服务器中了勒索病毒呢？勒索病毒区别于其他病毒的明显特征：加密受害者主机的文档和数据然后对受害者实施勒索,从中靠法谋取私利。勒索病毒的收益极高所以大家才称之为“勒索病毒。勒索病毒的主要目的既然是为了勒索那么黑客在植入病毒完成加密后必然会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。所以,勒索病毒有明显区别于一般病毒的典型特征。如果服务器出现了以下特征,即表明已经中了勒索病毒。业务系统无法访问2018年

18、以来,勒索病毒的攻击不再局限于加密核心业务文件；转而对企业的服务器和业务系统进行攻击,感染企业的关键系统,破坏企业的日常运营；甚至还延伸至生产线口生产期可避免地存在一些遗留系统和各种硬件难以升级打补丁等原因,一旦遭到勒索攻击的直接后果就是生产线停产。比如：2018年2月,某三甲医院遭遇勒索病毒,全院所有的医疗系统均无法正常使用,正常就医秩序受到严重影响；同年8月台积电在台湾北、中、南三处重要生产基地,均因勒索病毒入侵导致生产停摆。但是,当业务系统出现无法访问、生产线停产等现象时,并不能100%确定是服务器感染了勒索病毒也有可能是漕到DDoS攻击或是中了其他病毒等原因所致所以,还需要结合以下特征

19、来判断。电脑桌面被篡改服务器被感染勒索病毒后最明显的特征是电脑桌面发生明显变化,即：桌面通常会出现新的文本攵件或网口文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式,通常提示信息英文较多,中文提示信息较少。Hrtobuybitcoins?ContaCtUSCheckPaymentDecrypt下面为电脑感染勒索病毒后几种典型的桌面发生变化的示意图。.J-31.2.JJ文Ooops,yourfileshavebeenencrypted!r三wwwi洋的由肺中7什/间廊？BUlgarianIII您的一些重要文件被我加密保存了。ChineseCtraditior照片、图

20、片、文档、压缩包、音频、视频文件、exe文件等，几乎找U皿文件都被加密了，因此不能正常打开。g三h这和一般文件损坏有本质上的区别。您大可在网上找找恢复文件RFiHPino保证，没有我们的解密服务，就算老天爷来了也不能恢复这些文走;（Geraan有没有恢复这些文档的方法？然:工皿当然有可恢复的方法。只能通过我们的解密服务才能恢复。我以）:靠瑟e够提供安全有效的恢复服务。广5但这是收费的，也不能无限期的推迟。理:揶皿请点击（Decrypt,按钮，就可以免费恢复一些文档。请您放心，柒Se骗你的。Romanian但想要恢复全部文档,需要付款点费用。黑:婕1是否随时都可以固定金额付款，就会恢复的吗，当然

21、不是,推迟使P电对你不利。泮黑最好3天之内付款彝用，过了二天费用就会翻倍。VietnesePaymentwillberaisedon5/16/201716:16:24Time1.eft；：.：；:二：i1Yourfileswillbeloston5/20/201716:16:24Time1.eft一Pi;.I:.:;:二:口.W5-ji还有，一个礼拜之内未付款，将会永远恢复不了。对了，忘了告诉你，对半年以上没钱付款的穷人，会有活动免费恢复，能否轮Send$300worthofbitcointothisaddress:Aboutbitcoin12t9YDPgwueZ9NyMgw519p7AA8i

22、sjr6SMwbitcoinACCEPTEDHERE蛀YoURFI1.ESAREENCRYPTED!登ITODECRYPT.FOUOWTHEINSTRUCTIONSBE1.OW.IfrvccMrdotsyou11wxltocr11*IogettcdecrypttoolywtfoukxSend1ccodICctvna9cerWtoordocmcrwto(OfiihRmmm*l)InffwMWyourpermtfOOookatet*girvMrQofWbdn0ww)SmimeMbDinym#HrvtemHtomeWMlOMryoufreeWMfordecryptfewct(NOTVAtUE)Owg

23、nVcccfartocfyttcr.ResAftcrwesendyouretructenhewDp三yrdecrypttodandfrpoymentyouwl11scenmadaeryrwttiandratrurmhwtoUMIYWftcmdeerprMminqiMftrvEMdeneAIfWr”wvetdRCXMlar Onhr11wty.CM*ny1.mcandocryvtYOtMftw OonetVUBtaAymOtefidMCmarTyJMM11yMteom rMrwimgrMwnanWm*m/WkuMVyoumuttmtheImofv11rrnKRisEfM安全客fWWWHqUd依.

24、cOm)Pfoeorvvwlcom.*Allyourfileshavebeenencrypted!AllyourfileshavebeenencryptedduetoasecurityproblemwithyourPGIfyouwanttorestorethem,writeustothee-mallHelIPPrOgcAAZSCBA3IncaseofnoanswerIn24hourswriteustoticcsee-mail:HdlpiproYouhavetopayfordeypbonnBuors.ThePneedependsonhowfastyouWrtetous.Afterpaymentw

25、ewdsendyouthedeypootoolthatWidecryptyourfes.IFreedecryptkmaguaranteeBeforePdyFyoucanwndusto1tietorfreedeypo.ThetoutffeofflesmustbelewthanIMb(nonardwed),ndesShouUnotco11tarVdbablenformabon.(dabMes,bfajs,ter9eCXCdSheCtsrM)IHowtoobtainB4tco4nsTheeasestwaytobuybtcora1.ocaBccorsste.Youhavetoregter,ddcBuy

26、bccoraarandSdeCttheSelefbyfxayn*a?:K川，-r-，-F一二二二一“1r-一-二2_TJ!B!r=三:W!=，一，二二一一.一工一一一=t文件后缀被篡改服务器感染勒索病毒后,另外一个典型特征是：办公攵档照片视频等文件的图标变为不可打开形式或者文件后缀名被篡改。一般来说,文件后缀名会被改成勒索病毒家族的名称或其家族代表标志,如:GIobeImposter家族的后缀为.dream、.TRUE、.CHAK等;Satan家族的后缀.satansicck;Crysis家族的后缀有.ARROW、.arena等0下面为电脑感染勒索病毒后种典型的文件后缀名被篡改或文件图标变为不可打开的示意图。D三e)K工Aa)第勘即J,z*文怜兴区QCSMfgdStti11iastrtfid)cry/WQ文件C“charyf三突并COKB一，21，hory，BW艾怦3TKB_rghftrym文件EBn4on%inaryT文件3?KBJcorttD1.nry9DKBaolh.nary73ry文件Jda一ruEwa/MBY文押0