应急响应-技术操作指南

当发生应急响应事件时，应急响应工程师需要对勒索病毒事件进行初步判断，了解事态现状、系统架构、感染时间等，并确定感染面；还要及时提供临时处置建议，对以“中招”服务器/主机下线隔离，对未“中招”服务器/主机做好防护。

在完成了勒索病毒事件判断及临时处置后，需要针对勒索病毒的服务器/主机展开检查工作，检查主要围绕系统和日志两个层面展开。系统层面主要包括是否有可疑账号、可疑进程、异常的网络连接、可疑任务计划、可疑服务及可疑启动项，确认加密文件是否可以解密；日志层面主要包括安全日志是否有暴力破解记录、异常IP地址登录记录，对感染的服务器\主机展开溯源分析工作，串联异常登录IP地址情况，最后定位攻击的突破口。

在检查完成后，需要对服务器/主机进行抑制和恢复。主要包括对检查过程中发现的恶意账号、进程、任务计划、启动项、服务等进行清理，删除恶意样本。对系统进行补丁更新，使用高复杂强度的密码，并安装杀毒软件进行防御，部署流量监测设备进行持续监测。如果被加密的数据比较重要，也可以解密或恢复数据

初步判断

如何判断遭遇勒索病毒攻击

• 实施勒索病毒攻击的主要目的是勒索，攻击者在植入病毒、完成加密后，必然会提升受害者文件已经被加密且无法打开，需要支付赎金才能恢复。因此，勒索病毒攻击有明显区别于一般病毒攻击的特征，如果服务器/主机出现以下特征，即表明已经遭遇勒索病毒攻击。

业务系统无法访问

• 勒索病毒的攻击不仅加密核心业务文件，还对服务器和业务系统进行攻击，感染关键系统，破坏受害机构的日常运营，甚至还会延伸至生产线（生产线不可避免的存在一些遗留系统且各种硬件难以升级打补丁，一旦遭到勒索病毒攻击，生产线将停工停产）。

文件名后缀被篡改

• 操作系统在遭遇勒索病毒攻击后，一般受害者中的可执行文件、文档等都会被病毒修改成特定的后缀名。如图所示，文件的后缀名未.bomber。

• • 

勒索信展示

• “中招”勒索病毒后，受害者通常会在桌面或者磁盘根目录找到勒索信。勒索信的内容通常包含计算机被加密的提示信息、如何支付赎金的信息、支付赎金的剩余时间等，并提供多种语言的选项，以便受害者了解具体情况。
• 图为GlobeImposter勒索信，该勒索信包含了计算机文件被加密的提示信息、如何获得解密程序、如何发送包含个人ID的测试邮件给指定邮箱、如何支付赎金等内容。

• • 

• 图为WannaCry勒索信，该勒索信包含了计算机文件被加密的提示、恢复文件的方法、付款的地址和付款的剩余时间等信息。

桌面有新的文本文件

• “中招”勒索病毒后，除会弹出勒索信内容外，一般在桌面还会生成一个新的文本文件，文件内容主要包括加密信息、解密联系方法等内容。图为生成的文本文件内容。

• • 

了解勒索病毒加密时间

Windows

• 在初步预判遭遇勒索病毒攻击后，需要了解被加密文件的修改时间及勒索信建立时间，以此推断攻击者执行勒索程序的时间轴，以便后续依据此时间进行溯源分析，追踪攻击者的活动路径。图是Windows系统中判断时间的方法，通过文件修改日期可以初步判断加密时间为2018/11/6 15:15。

• • 

Linux

• 如果是Linux系统，可以执行命令【stat】，并查看Access（访问）、Modify（内容修改）、Change（属性改变）三个时间。此时需要重点关注内容修改时间和属性改变时间，根据这两个时间节点可以判断是否存在系统文件被修改或者系统命令被替换的可能，同时为判断文件加密时间提供依据。
• 图为使用【stat /etc/passwd】命令后，查看到的文件具体时间。

• • 

了解中招范围

• 可以通过安装集中管控软件或全流量安全设备来查看“中招”范围。还可以通过IP系统管理员收集网络信息，首先检查同一段服务器、主机，在拓展到相邻网段进行排查、同时也可以收集企业内部人员的反馈信息来进行补充，以便全面掌握“中招”范围。

了解系统架构

• 通过了解现场环境的网络拓扑、业务架构及服务器类型等关键信息，可帮助应急响应工程师在前期工作中评估病毒传播范围、利用的漏洞，以及对失陷区域做出初步判断，为接下来控制病毒扩散与根除工作提供支撑。
• 表为某应用系统的资产信息表，可参照此表对前期系统架构进行初步了解，包括操作系统版本、开放端口、中间件类型、Web框架等，从而判断应用或中间件是否存在漏洞。

• •