一、勒索病毒类型

1、加密勒索软件

它使个人文件和文件夹（文档、电子表格、图片和视频）被加密。
受感染的文件被加密后会被删除，用户通常会在当下无法使用的文件的文件夹中看到一个包含付款说明的文本文件。
当您尝试打开其中一个加密文件时,您才可能会发现问题。
某些（但非所有）类型的加密软件会显示“锁屏”：

2、锁屏勒索软件 - WinLocker

WinLocker会锁定电脑屏幕并要求付款。
它会呈现一个阻止所有其它视窗开启的全屏图像。
没有个人文件被加密。

3、主引导记录(MBR)勒索软件

主引导记录(MBR)是电脑硬盘驱动器的一部份，影响操作系统的启动功能。
主引导记录勒索软件会更改电脑的主引导记录，中断电脑的正常启动。
屏幕上反而会显示要求赎金的内容。

4、网络服务器加密勒索软件

它专门对网络服务器上的文件进行加密。
它通常使用内容管理系统中的已知漏洞在网络服务上部署勒索软件。

5、移动设备勒索软件（安卓）

移动设备（主要为安卓）可通过“路过式下载”受感染，
同时也可通过伪装成类似Adobe Flash或防病毒产品等受欢迎服务的假冒应用程序被感染。

二、勒索病毒如何攻击

勒索软件攻击通常通过可执行文件、存档或图像等电子邮件附件来传递。打开附件后，恶意软件将被释放到用户的系统中。网络罪犯也可以在网站上种植恶意软件。当用户不知不觉浏览该网站时，恶意软件已被释放到系统中。

用户将不会立即发现设备被感染。恶意软件将在后台静默运行，直到部署系统或数据锁定机制被启动。届时会弹出一个对话框，告诉用户数据已被锁定，并要求赎金以解锁。这时候采取任何安全措施都将为时已晚。

三、为何无法根治

勒索软件正在兴起 - 现在已经有超过50种这类恶意软件类型在流通 - 且正在快速发展。每个新变体都拥有加强的新功能。这是您不能忽视的事实！

找到单一解决方案的难处之一在于加密软件本身并不是恶意软件。它实际上是一个很好的开发软件，且许多良性的程序都会使用它。

第一个加密恶意软件使用了对称密钥算法，加密和解密均使用相同的密钥。损坏的信息通常可在保安公司的协助下成功破解。渐渐的，网络犯罪分子开始使用非对称加密算法，他们使用两个单独的密钥，即加密文件的公开密钥，以及解密公开密钥所需的私有密钥。

CryptoLocker木马病毒是最著名的勒索软件之一。它也使用公开密钥。电脑被感染时会连接到指挥和控制服务器以下载公开密钥。私有密钥则只有编写CryptoLocker软件的犯罪分子才拥有。通常，受害人必须在72小时内支付赎金，否则私有密钥将永久删除，如果没有私有密钥，就不可能解密任何文件。

所以您必须防患于未然。大多数防毒软件已经包含一个组件，可以在感染的早期阶段识别勒索软件威胁，避免丢失任何敏感数据。用户必须确保在防毒解决方案中启用此功能。

四、勒索病毒及解密器（1000余种）

勒索软件	解密器
777	Trend Micro Ransomware
AES_NI	Rakhni
Agent.iih	Rakhni
Alcatraz	Alcatraz
Alpha	Alphadecrypter
Amnesia	Amnesia
Amnesia2	Amnesia2
Annabelle	BDAnnabelleDecryptTool
AtomSilo	AtomSilo Ransomware
Aura	Rakhni
Aurora	AuroraDecryptor
AutoIt	Rakhni
AutoLocky	Trend Micro Ransomware
Avaddon	BDAvaddonDecryptor
Avest	Avest
BTCWare	BTCWare
Babuk	Babuk ransomware
。。。	。。。

五、勒索病毒应急响应

1) 立即断开连接，但不要关闭受感染设备的所有网络连接，无论是有线、无线还是移动电话。

2) 在非常严重的情况下，请考虑是否有必要关闭 Wi-Fi、禁用任何核心网络连接（包括交换机）以及断开互联网连接。

3) 重置凭据，包括密码（尤其是管理员和其他系统帐户的密码），但请确认您没有将自己锁定在恢复所需的系统之外。

4) 向警局报告该事件

5) 与调查攻击的主管当局协调，保留任何证据：创建受影响系统的取证图像（或系统快照），创建受影响系统的 RAM 转储，并保留任何网络流量或其他网络流量日志。

6) 访问 www.nomoreransom.org 以检查您的企业是否感染了我们的勒索软件变体解密工具免费提供之一。如果不是这种情况，请继续执行恢复步骤。

7) 安全擦除受感染的设备并重新安装操作系统。

8) 从备份恢复之前，请确认它没有任何恶意软件。仅当您非常确信备份和连接它的设备是干净的时，才应该进行恢复。

9) 将设备连接到干净的网络以下载、安装和更新操作系统和所有其他软件。

10) 安装、更新和运行防病毒软件。

11) 重新连接到您的网络。

12) 监控网络流量并运行防病毒扫描以确定是否仍有感染。

六、防护措施

1、保持公司设备的操作系统和应用程序更新。

（1）应用最新的安全补丁并确保关键软件是最新的，包括在移动设备上。

（2）如果可能，启用自动更新选项。拥有最新的更新将确保设备不仅更安全，而且性能更好。

（3）评估是否需要防病毒和反恶意软件产品并使其保持最新状态。

（4）定期进行扫描以确保您的操作系统有效运行。

（5）考虑使用集中式补丁管理系统并使用基于风险的评估策略来确定哪些系统应该成为补丁管理计划的一部分。

（6）定期备份您的系统，在线和离线。最新备份是从勒索软件攻击中恢复的最有效方法。

（7）确保您创建的离线备份保存在不同位置（最好是异地）、网络和系统和/或为此目的而设计的云服务中。请记住，勒索软件会主动以备份为目标，以增加受害者付费检索数据的可能性。

2、了解您的资产并对其进行划分。

（1）敏感数据必须与日常数据区别对待。

（2）将敏感数据存储在分隔的位置。

（3）实施并确保有效的网络隔离，以限制攻击者从网络的一个部分转向另一部分的能力。

（4）确保划分具有不同特征和安全配置文件的区域，隔离和限制对那些更容易受到威胁的部分的访问。

3、安全访问远程桌面协议 (RDP)

限制对网络资源的访问，尤其是通过限制 RDP。在进行适当的风险评估后，如果认为您的组织绝对需要 RDP，请限制原始来源并要求进行多因素身份验证。

4、监控数据泄露。

许多勒索软件活动都伴随着发布数据以鼓励企业支付赎金的威胁。越早检测到数据泄露，任何发布造成的损害就越小。监视数据泄露可以深入了解哪些数据有暴露风险。

无法保证攻击者不会发布数据或重复使用相同的数据进行额外勒索。无论是否支付赎金，都要考虑两种可能的情况。

5、测试您的系统。

定期针对您的网络安全运行渗透测试，并在关键信息恢复过程中执行测试，以确保其按预期工作。

6、降低恶意内容到达您的网络的可能性。

（1）禁用脚本环境和宏。

（2）将您的系统配置为主动检查内容，仅允许某些文件类型并阻止已知为恶意的网站、应用程序、协议等。

（3）在网络级别，考虑过滤网络流量，实施策略来监控、过滤和阻止非法或恶意流量到达您的网络。

（4）实施基于实时威胁情报源的黑名单/白名单规则，以防止用户访问恶意网站、恶意 IP 地址、网络钓鱼 URL、匿名代理、Tor 网络和其他匿名服务等。

7、使用增强的密码并定期更改它们。

（1）数字、符号以及大小写的组合将帮助您创建更强的密码。

（2）培训并鼓励您的员工在他们的职业和私人生活中使用强密码，并推广使用密码管理器。

8、使用强身份验证。

需要多因素身份验证才能访问关键网络上的帐户，以最大程度地降低通过被盗或被黑客入侵的凭据进行访问的风险。

9、管理特权帐户的使用。

（1）限制员工在公司网络设备上安装和运行软件应用程序的能力。

（2）确保通过帐户使用策略、用户帐户控制和特权用户访问管理来限制用户和系统帐户。

（3）根据最小特权原则组织访问权限，需要知道原则和职责分离。与简单用户帐户相比，特权用户帐户的潜在危害将导致更大的风险。

10、保护您的远程办公设备。

（1）实施诸如硬盘加密、不活动超时、隐私屏幕、强身份验证、蓝牙禁用以及可移动媒体控制和加密（例如 USB 驱动器）等措施。

（2）实施流程以远程禁用对丢失或被盗设备的访问。

11、仅安装来自可信来源的应用程序。

公司应该只允许在连接到企业网络的移动设备上安装来自官方来源的应用程序。作为一种选择，可以考虑构建一个企业应用程序商店，最终用户可以通过它访问、下载和安装企业批准的应用程序。咨询您的安全供应商以获取建议或在内部构建您自己的。

12、警惕通过公共 Wi-Fi 网络访问公司数据。

一般来说，公共 Wi-Fi 网络并不安全。如果员工在机场或咖啡店使用免费 Wi-Fi 连接访问公司数据，则数据可能会暴露给恶意用户。建议企业在这方面制定有效的使用政策。

13、为您的员工提供网络安全教育和意识培训。

（1）对您的员工进行有关公司在线安全政策的教育。花时间提高对网络威胁的认识，尤其是网络钓鱼和社会工程，以及如果他们遇到可疑活动该怎么办。

（2）考虑实施用户培训计划，其中包括针对鱼叉式网络钓鱼的模拟攻击，以阻止员工访问恶意网站或打开恶意附件。

（3）为您的员工提供一种无缝方式来报告网络钓鱼电子邮件并在他们这样做时给予奖励。一个简单的感谢弹出窗口或积分系统有助于促使员工保持警惕并报告他们发现的可疑情况。

14、探索网络责任保险。

考虑寻找一家保险代理人，在发生网络攻击时提供保险。

15、打开本地防火墙。

打开本地防火墙以帮助防止未经授权的访问。

16、禁用 Windows PowerShell。

如果不使用，请禁用 Windows PowerShell。一些勒索软件变种使用 PowerShell 来执行。

附：勒索病毒解密工具

【360】勒索病毒搜索引擎，支持检索超过800种常见勒索病毒，

http://lesuobingdu.360.cn

【腾讯】勒索病毒搜索引擎，支持检索超过 300 种常见勒索病毒

https://guanjia.qq.com/pr/ls/

【启明】VenusEye勒索病毒搜索引擎，超300种勒索病毒家族

https://lesuo.venuseye.com.cn/

【奇安信】勒索病毒搜索引擎

https://lesuobingdu.qianxin.com/

【深信服】勒索病毒搜索引擎

https://edr.sangfor.com.cn/#/information/ransom_search

勒索软件解密工具集

很多安全公司都提供了免费的勒索病毒解密工具下载，收集和整理相关下载地址，可以帮助我们了解和获取最新的勒索病毒解密工具。

【腾讯哈勃】勒索软件专杀工具

https://habo.qq.com/tool/index

【金山毒霸】勒索病毒免疫工具

http://www.duba.net/dbt/wannacry.html

【火绒】安全工具下载

http://bbs.huorong.cn/forum-55-1.html

【瑞星】解密工具下载

http://it.rising.com.cn/fanglesuo/index.html

【nomoreransom】勒索软件解密工具集

https://www.nomoreransom.org/zh/index.html

【MalwareHunterTeam】勒索软件解密工具集

https://id-ransomware.malwarehunterteam.com/

【卡巴斯基】免费勒索解密器

https://noransom.kaspersky.com/

【Avast】免费勒索软件解密工具

https://www.avast.com/zh-cn/ransomware-decryption-tools

【Emsisoft】免费勒索软件解密工具

https://www.emsisoft.com/ransomware-decryption-tools/free-download

【Github项目】勒索病毒解密工具收集汇总

https://github.com/jiansiting/Decryption-Tools

勒索病毒应急响应及防护相关推荐

勒索病毒应急响应指导手册
目录 0x01 自诊判断是否感染勒索病毒 1.1什么是勒索病毒 1.2如何判断遭受勒索病毒感染 1.3.如何判断当前感染了哪种勒索病毒 0x02 数据解密恢复 0x03 感染勒索病毒后正确的应急处理流 ...
某某客户的一次勒索病毒应急响应
Lockbit勒索病毒应急响应背景 1.应急处理排查 2.勒索病毒来源分析 3.勒索病毒分析 4.勒索病毒解密 5.主机分析分析 6.后续安全加固和改进措施结论背景美好的周六刚开始,眼睛一睁, ...
勒索病毒应急响应指南
勒索病毒应急响应指南 1.勒索病毒的攻击特点 2.隔离被感染的服务器/主机 3.排查业务系统 4.确定勒索病毒种类,进行溯源分析 5.恢复数据和业务 6.清除加固 7.勒索病毒的防御方法个人终端防御 ...
运维圣经：勒索病毒应急响应指南
目录勒索病毒简介常见勒索病毒种类 WannaCry Globelmposter Crysis/ Dharma 攻击特点应急响应方法指南一. 隔离被感染的服务器/主机二. 排查业务系统三. ...
网络安全应急响应----5、勒索病毒应急响应
文章目录一.勒索病毒简介二.常见勒索病毒三.勒索病毒常见利用漏洞四.勒索病毒的解密 4.1.常见的可解密勒索家族类型 4.2.处理勒索病毒常用工具五.勒索病毒的攻击 5.1.勒索病毒的攻击方 ...
网络安全之勒索病毒应急响应方案
处置方法: 当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电:访问控制主要是指对访问网络资源的权限进行严格的认证和控制. 1. ...
记一次Windows勒索病毒应急响应实战
查看本地用户,未发现异常: 打开任务管理器,发现可疑进程F.exe: 利用wmi查看进程信息,发现其位置在开始菜单启动项中: C:\Users\gy\AppData\Roaming\Microsoft ...
linux x11 挖矿病毒,应急响应：记一次花样贼多的挖矿病毒
一次 "无文件"."无进程",在系统中 "几乎" 看不到异常的高配挖矿病毒处置实例 . 0x00 正经的内容介绍本文记录了一次表象是 &q ...
记·Windows挖矿病毒应急响应
一.事件概述有台服务器的风扇一直很响,并且操作十分卡顿.重启过程也十分缓慢,打开任务管理器一看,cpu直接拉满了,资源占用严重,猜测中了挖矿木马. 二.痕迹挖掘 1.查看可疑进程发现system. ...

勒索病毒应急响应及防护