2017年以来,勒索病毒已发生三次全球范围的爆发,持续不断的更新变种,让各行业机构与企业防不胜防。近期,勒索病毒卷土重来,从医院到政府,目前已有多个部门和组织遭受病毒危害,业务系统瘫痪或遭受直接经济损失。
变种勒索病毒突袭医院
2019年3月以来,两个变种勒索病毒“GandCrab V5.2”和“GlobeImposter3.0”频频出现。3月初“GlobeImposter3.0”袭击多家医疗机构,将其文件加密并主要以动物名称+4444的格式命名。
“GandCrab V5.2”和“GlobeImposter3.0”更倾向于通过爆破RDP服务弱口令扩散,而“GandCrab V5.2”的加密方式不同于“GlobeImposter”和“GandCrab”之前版本的分组密码AES+RSA加密,改用流密码Salsa20+RSA进行加密。
多地政府部门接连中招
境外黑客组织近期又向我国政府部门开展勒索病毒邮件攻击。邮件主题为“你必须在3月11日下午3点向警察局报到!”,邮件附件名为“03-11-19.rar”。经分析,附件包含勒索病毒GandCrab V5.2,运行后效果与前几个版本类似,加密后勒索信会提示安装洋葱浏览器(Tor Browser),访问付费链接,根据提示缴付赎金。我国部分政府部门邮箱已遭到攻击,多地政府、高校等都已发布预警通报。
事实上,当遭到勒索病毒攻击时,通过正确的应急处理措施可以有效避免更大范围损失;提前采取合理的预案能够保障系统免受勒索病毒影响。
安恒信息EDR产品团队与公司服务、技术等部门,将大量应急响应经验总结为《勒索病毒应急与响应手册》。手册中提供一系列紧急预案及实施措施,帮助中招用户迅速开展自救,在专业人员到场处理前遏制影响范围,尽可能降低损失。对于还未发现情况的用户,手册也提供给出一系列预防建议,防患于未然。
《勒索病毒应急与响应手册》
浏览下载地址:http://wenku.it168.com/d_001754307.shtml
我们按照病毒发现后的处理顺序,给出具体方法和步骤,包括:判断状态、响应措施、具体处理方法等几个部分。其中,应急处理的对象分为加密系统和未加密系统两类,根据不同系统等级,建议分别处理。手册中提供完整教程,用户可参照自行完成处理措施,以确保在专业人员到场之前控制病毒影响范围。对于已加密的系统给出5种处理方法,其中支付解密并不建议选择。
关于不同业务系统的病毒防护,手册提供6种具体方式:
第1节:通过优化系统本身的安全配置提升安全防护能力,包括策略配置与安全意识等;
第2、3节:针对网络边界和终端主机,不同对象采取不同措施;
第4节:如何通过专业的安全人员提供技术服务,增强系统安全性;
第5节:对于安全要求极高的工控系统,如何开展特殊安全防护措施;
第6节:病毒中招后的终极保障——勒索保险。
通过使用手册,无论是在面对勒索病的事前、事中、事后都能选择合理的措施来防治或应急响应,安恒信息希望这本手册能够帮助用户提升系统免疫能力,避免因病毒突袭带来的声誉及经济损失。