“假勒索”?真攻击! 一文支招教你如何判断是否感染勒索病毒及应急响应

2022-08-12 09:12:08来源:深圳融安网络科技有限公司

8月11日晚间,就“美的受黑客攻击并被勒索千万美元”的传闻,美的集团在微博上发文回应称:“2022年8月11日,美的集团遭受新型网络病毒攻击,少数员工电脑受到感染,公司各业务系统未受影响,经营正常进行,也没有收到勒索信息。”不过,事发当晚,在招聘软件上却发现美的连夜“高薪”招聘信息安全技术专家,仍引发了网上不少议论猜测的声音。

截图来源:美的集团官方微博

近年来,勒索病毒肆虐全球,影响波及了众多行业和机构,全球各地的关键基础设施正面临着前所未有的严峻考验,工厂停摆、数据泄露等等事故的发展甚至影响着国家的正常运作,已经成为最受关注的网络安全问题之一。2022年上半年发生的影响或损失重大的勒索事件,如2月23日,英伟达(Nvidia)遭Lapsus$组织攻击,涉及1TB机密数据泄露;3月1日,丰田汽车供应商遭勒索攻击,14家本土工厂暂时关闭,28条生产线停工一天等事件发生。


判断是否感染勒索病毒的几大特征?


众所周知,勒索病毒的主要目的是为了勒索,那么黑客在植入病毒完成加密后,必然会提示受害者您的文件已经被加密了无法再打开,对受害者实施勒索,从中非法谋取私利,唯有支付赎金才能恢复文件。所以,勒索病毒区别于其他一般病毒有明显的特征。因此,可以通过以下特征来判断是否感染勒索病毒。


1、电脑桌面出现勒索信息文件


主机被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式。

2、文件后缀被篡改


主机感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件后缀名被篡改。一般来说,文件后缀名会被改成勒索病毒家族的名称或其家族代表标志,如:GlobeImposter家族的后缀为.dream、.TRUE、.CHAK等;Satan家族的后缀.satan、sicck;Crysis家族的后缀有.ARROW、.arena等。


3、业务系统无法访问


2018年以来,勒索病毒的攻击不再局限于加密核心业务文件;转而对企业的主机和业务系统进行攻击,感染企业的关键系统,破坏企业的日常运营;甚至还延伸至生产线——生产线不可避免地存在一些遗留系统和各种硬件难以升级打补丁等原因,一旦遭到勒索攻击的直接后果就是生产线停产。


感染勒索后的截图:


解密后的截图:


那么,勒索病毒来袭,如何做好应急响应?


面对愈演愈烈的勒索病毒,我们应该如何应对?虽然无法完全杜绝勒索病毒,但我们可以做好有效的安全防范措施,及时发现并阻断威胁,定期做好数据备份,保护数据资产安全。


第一、断网隔离


当确认已被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段。


物理隔离主要常用操作方法为断网和关机,防止勒索病毒在内网进一步传播感染,避免组织造成二次损失最直接的方式,待应急结束,加固完成后,再放通网络。


访问控制就是进一步关闭445、139、135等不必要的端口,尤其RDP端口,并在网络侧使用安全设备进一步隔离,如防火墙、终端安全卫士等设备,设置IP白名单规则,配置高级安全Windows防火墙,设置远程桌面连接的入站规则,将使用的IP地址或IP地址范围加入规则中,阻止规则外IP进行暴力破解;


第二、安全排查业务系统


使用病毒查杀工具进行病毒全盘扫描,找到病毒文件进行隔离查杀处置。如主机核心系统文件被加密,则进行系统重装;


开启关键日志收集功能(安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;


部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对勒索软件的发现与追踪溯源。融安网络检测系统以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁。


第三、加固防范


及时对操作系统、设备、以及软件进行打补丁和更新,对系统进行渗透测试及安全加固;建立安全灾备预案,确保备份业务系统可以快速启用。


第四、联系技术人员或者安全从业者


在应急自救处置后,建议第一时间联系专业的技术人士或者安全从业者,对事件的感染时间、传播方式、感染家族等问题进行排查。融安网络安全服务团队可提供7*24小时安全值守、应急响应和安全服务支撑保障工作,为客户的业务保驾护航。

分享:

微博
微信公众号