勒索病毒应急响应指导手册

0x01 自诊判断是否感染勒索病毒

1.1什么是勒索病毒

1.2如何判断遭受勒索病毒感染

1.3.如何判断当前感染了哪种勒索病毒

0x02 数据解密恢复

0x03 感染勒索病毒后正确的应急处理流程

3.1.采取适当的自救措施

3.2自救中应避免以下行为

0x04 日常安全防护

0x05 重要数据备份

2018-11-30 来源：腾讯电脑管家 作者：原创

【文章摘要】政企机构遭遇勒索病毒攻击时，如果及时采取必要的自救措施，就能有效阻止损失扩大，为等待专业救援争取时间。为帮助遭受勒索病毒攻击的政企机构和个人用户正确应急处置，腾讯安全团队整理了此份《勒索病毒应急响应指导手册》，希望能对广大用户有所帮助。

0x01 自诊判断是否感染勒索病毒

1.1什么是勒索病毒

勒索病毒是一种黑客通过技术手段将受害者机器内的重要数据文件进行加密，最终迫使受害者向黑客缴纳文件解密赎金，黑客收到赎金后，进一步协助受害者恢复被加密数据，从而达到病毒非法牟利勒索钱财的目的，勒索病毒是近年来极为流行的病毒类型之一。

勒索病毒主要有以下几种类型：

A.使用加密算法对攻击机器内的文件进行加密（流行）

B.直接对磁盘分区进行加密（较少）

C.劫持操作系统引导区后禁止用户正常登录操作系统（较少）

1.2如何判断遭受勒索病毒感染

由于勒索病毒最终以勒索钱财为目的，与传统类型病毒获利模式有较大差异，当受害者遭受到勒索病毒攻击后会产生极为明显的受勒索特征。通过观察遭受勒索病毒攻击机器环境发现病毒造成的明显异常点，可进一步确诊自身当前是否遭受到勒索病毒攻击。

具体可通过以下几种方式来进行判断自己中毒类型是否为勒索病毒。

1）电脑桌面壁纸被篡改

勒索病毒攻击成功后，为了让受害者第一时间感知到被病毒入侵，部分情况下会修改用户当前电脑桌面壁纸，告知受害者当前已被病毒感染，需要加纳赎金行为，下图为GandCrab勒索病毒感染后修改壁纸为黑色北京且有勒索提示信息。

2）有明显的勒索信息窗口展示

勒索病毒加密文件完成后，通常会在被加密文件所在目录下创建一个勒索提示说明文档。为了更加直观，勒索病毒加密文件完成后通常会自动打开该文档。该说明文档通常为txt或html文件类型，部分病毒也会直接使用病毒程序弹出窗口的形式来展示勒索信息。

3）文件后缀被修改且文件使用打开异常

勒索病毒通常为了标识文件是否被自身加密过，当对文件加密完成后，通常情况下会修改被加密文件的原始后缀，被修改后的文件后缀区别于常见文件类型，通过该后缀也可判断确诊是否遭受到了勒索病毒攻击，下图为图片文件被加密后添加了dlkjq后缀，此时该图片文件已无法正常打开使用。

1.3.如何判断当前感染了哪种勒索病毒

腾讯安全团队通过收集当前国内外主流非主流勒索病毒家族，归纳各家族勒索病毒特征，整理开发出了一个支持超过检索280余种勒索病毒家族的搜索引擎。当通过自检确认遭受勒索病毒攻击后，用户可通过该搜索引擎进一步获取病毒更多相关信息，进一步确认当前感染勒索病毒类型（搜索引擎地址https://guanjia.qq.com/pr/ls/#navi_0）

勒索病毒搜索引擎支持以下形式的内容输入检出

1）通过文件加密后缀信息搜索

2）通过勒索提示文档名信息搜索

3）通过勒索病毒留下的其它关键字搜索

0x02 数据解密恢复

2.1.确认自己当前被加密文件是否可以使用工具解密：

通过使用腾讯安全团队提供的勒索病毒搜索引擎可进一步查询到病毒更多信息，进而可确认该病毒是否支持使用工具进行解密，支持解密情况可直接点击下载工具对文件进行解密。（搜索引擎地址 https://guanjia.qq.com/pr/ls/#navi_0）

通过使用文档守护者扫描被加密文件目录，也可确认该文件是否支持解密。

2.2没有解密工具的情况下还可以做什么：

中毒前若有安装腾讯安全终端产品，并开启了文档守护者功能，文档守护者会对系统内的重要数据进行备份保护，当系统不幸感染勒索病毒，使用文档守护者可进行备份文件恢复。

另外也可使用专业的文件恢复工具尝试恢复数据。

若以上方法均无法恢复数据，建议对被加密数据进行保存，等待未来可能出现的数据恢复方案。

2.3.为什么只有部分病毒可以解密：

绝大多数情况下，被勒索病毒加密的文件通过常规技术手段无法解密。少数可解密情况主要包含以下场景。

1.由于勒索病毒自身设计缺陷导致的加密算法可逆，密钥泄漏场景下的文件可解密。

2.得益于警方与安全公司的合作，对勒索团伙进行打击后拿到了病毒作者手中的密钥，进而使用该密钥开发出解密工具。

3.勒索病毒作者自己放出了手中的密钥，进而开发出了解密工具。

由于上述该类型场景均为概率形事件，所以并不是所有类型勒索病毒均可以解密。

0x03 感染勒索病毒后正确的应急处理流程

3.1.采取适当的自救措施

当确诊自身遭受到了勒索病毒攻击，我们建议在专业的安全人员到来之前，采取正确的紧急自救措施，以防止病毒导致灾情扩大，自救措施可参照以下流程。

1）物理、网络隔离染毒机器

对于已经中毒的机器，建议在内网下线处理，后续确认清理病毒完毕确认无风险后才能重新接入网络，避免病毒横向传播导致局域网内其它机器被动染毒。

2）工作环境风险排除

内网其他未中毒的电脑，使用弱口令登录的建议尽快修改，使用由字母、数字和特殊字符组合的复杂密码，并杜绝多台机器使用同一密码，避免攻击者暴力破解成功（企业网管可配置强制使用强壮密码，杜绝使用弱密码登录），具体流程可参考以下部分：

A、检查登录密码是否为弱密码，如：空密码，123456,111111,admin,5201314等。

B、检查是否开启高风险服务、端口，如：

21\22\23\25\80\135\139\443\445\3306\3389，以及不常见端口号。linux下root权限使用命令：netstat -tnlp； windows下使用命令netstat -ano | findstr LISTENLING，同时使用命令tasklist导出进程列表，找出可疑的正在监听端口对应的进程。

C、检查机器防火墙是否开启，在不影响正常办公的情况下，建议开启防火墙。

D、检查机器ipc空连接及默认共享是否开启，windows下使用net share命令查看，若返回的列表为空即未开启，否则为开启默认共享。列表中出现C$\D$\E$分别代表默认共享出C、D、E盘文件，且在获取到windows ipc$连接权限后，可随意读写。该类共享用不到的情况下，建议关闭，关闭方法：net share C$ /del，net share ipc$ /del……

E、检查机器是否关闭“自动播放”功能，方法：打开“运行”，输入gpedit.msc打开组策略选中计算机配置---管理模板---系统---“关闭自动播放”，双击进入编辑界面，对所有驱动器选择启用关闭。此外，建议安装安全软件杜绝该类威胁，以防U盘等外接设备传播病毒木马。打开“运行”，输入：control.exe /name Microsoft.AutoPlay，弹出的设置对话框中，选择“不执行操作”。

F、检查机器安装软件情况，是否有低版本有漏洞软件，如：FTP Internet Access Manager 1.2、Rejetto HTTP File Server (HFS) 2.3.x、FHFS - FTP/HTTP File Server 2.1.2等。使用命令：wmic /output:D:\check\InstalledSoftwareList.txt product get name,version可将本机安装软件列表导出到D:\check\InstalledSoftwareList.txt中。

G、检查本机office、adobe、web浏览器等软件是否更新到最新版本及安装最新补丁，以防钓鱼、挂马类攻击。

H、检查本机系统补丁是否安装到最新，可使用安全终端提供的漏洞修复功能。

终端用户若不使用远程桌面登录服务，建议关闭；局域网内已发生勒索病毒入侵的，可暂时关闭135，139，445，3389，5900端口以减少远程入侵的可能。

3）寻求专业的安全解决方案

在做完上述步骤后，建议可向专业的安全人员寻求帮助，来进行更进一步的安全补救措施。

3.2自救中应避免以下行为

1）立即插入移动存储设备操作染毒机器数据

部分勒索病毒具备感染移动设备的能力，此时若在病毒机器上使用移动设备，移动设备也将进一步被感染，形成一个移动的病毒源，进而给其它使用该设备的机器带来潜在风险。另外在染毒机器环境中插入移动设备，可能会导致移动设备中的重要数据也被加密，进而扩大灾情。

2）自行尝试使用网络中非安全厂商提供的各类解密工具

勒索病毒加密文件通常分为以下3个步骤

A、将磁盘文件数据读取到内存。

B、对读取到内存中的数据进行加密。

C、将加密后的数据写入磁盘，并删除原始文件。

部分情况下，遭受勒索病毒攻击后，使用专业的文件恢复工具有概率进一步找到部分被加密文件加密前的原始数据，进而恢复出来。但当尝试使用网络中的不知名工具反复对磁盘进行读写操作，会破坏磁盘中存放的原始文件数据，进而丢失恢复原始文件的机会。

0x04 日常安全防护

A、定期进行安全培训，日常安全管理可参考“三不三要”思路

1.不上钩：标题吸引人的未知邮件不要点开

2.不打开：不随便打开电子邮件附件

3.不点击：不随意点击电子邮件中附带网址

4.要备份：重要资料要备份

5.要确认：开启电子邮件前确认发件人可信

6.要更新：系统补丁/安全软件病毒库保持实时更新

B、全网安装专业的终端安全管理软件，由管理员批量杀毒和安装补丁，后续定期更新各类系统高危补丁。

C、部署流量监控/阻断类设备/软件，便于事前发现,事中阻断和事后回溯。

D、建议由于其他原因不能及时安装补丁的系统，考虑在网络边界、路由器、防火墙上设置严格的访问控制策略，以保证网络的动态安全。

E、建议对于存在弱口令的系统，需在加强使用者安全意识的前提下，督促其修改密码，或者使用策略来强制限制密码长度和复杂性。

F、建议对于存在弱口令或是空口令的服务，在一些关键服务上，应加强口令强度，同时需使用加密传输方式，对于一些可关闭的服务来说，建议关闭不要的服务端口以达到安全目的。不使用相同口令管理多台关键服务器。

G、建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞，攻与防的循环，伴随每个主流操作系统、应用服务的生命周期。

H、建议对数据库账户密码策略建议进行配置，对最大错误登录次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。

I、建议对数据库的管理访问节点地址进行严格限制，只允许特定管理主机IP进行远程登录数据库。

J、关键应用系统定期进行安全测试和加固。

0x05 重要数据备份

5.1做好安全灾备方案，可按数据备份三二一原则来指导实施

A、至少准备三份：重要数据备份两份

B、两种不同形式：将数据备份在两种不同的存储类型，如服务器/移动硬盘/云端/光盘等

C、一份异地备份：至少一份备份存储在异地，当发生意外时保证有一份备份数据安全