勒索病毒应急响应自救手册

作者：360安服团队，360天擎团队，360行业安全研究中心

编写说明

政企机构遭遇网络安全事件时，如果及时采取必要的自救措施，就能阻止损失扩大，为等待专业救援争取时间。

自2017年5月WannaCry（永恒之蓝勒索蠕虫）大规模爆发以来，勒索病毒已成为对政企机构和网民直接威胁最大的一类木马病毒。近期爆发的Globelmposter、GandCrab、Crysis等勒索病毒，攻击者更是将攻击的矛头对准企业服务器，并形成产业化；而且勒索病毒的质量和数量的不断攀升，已经成为政企机构面临的最大的网络威胁之一。

为帮助更多的政企机构，正确处置突发的勒索病毒攻击，360安服团队结合1000余次客户现场救援的实践经验，整理了此份《勒索病毒应急响应自救手册》，希望能对广大政企客户有所帮助。

目 录

第一章 如何判断病情

一、业务系统无法访问

二、电脑桌面被篡改

三、文件后缀被篡改

第二章 如何进行自救

一、正确处置方法

二、错误处置方法

第三章 如何恢复系统

一、历史备份还原

二、解密工具恢复

三、专业人员代付

四、重装系统

第四章 如何加强防护

一、终端用户安全建议

二、政企用户安全建议

360天擎敲诈先赔服务

360安服团队

360安全监测与响应中心

第一章 如何判断病情

如何判断服务器中了勒索病毒呢？勒索病毒区别于其他病毒的明显特征：加密受害者主机的文档和数据，然后对受害者实施勒索，从中非法谋取私利。勒索病毒的收益极高，所以大家才称之为“勒索病毒”。

勒索病毒的主要目的既然是为了勒索，那么黑客在植入病毒完成加密后，必然会提示受害者您的文件已经被加密了无法再打开，需要支付赎金才能恢复文件。所以，勒索病毒有明显区别于一般病毒的典型特征。如果服务器出现了以下特征，即表明已经中了勒索病毒。

一、业务系统无法访问

2018年以来，勒索病毒的攻击不再局限于加密核心业务文件；转而对企业的服务器和业务系统进行攻击，感染企业的关键系统，破坏企业的日常运营；甚至还延伸至生产线——生产线不可避免地存在一些遗留系统和各种硬件难以升级打补丁等原因，一旦遭到勒索攻击的直接后果就是生产线停产。

比如：2018年2月，某三甲医院遭遇勒索病毒，全院所有的医疗系统均无法正常使用，正常就医秩序受到严重影响；同年8月，台积电在台湾北、中、南三处重要生产基地，均因勒索病毒入侵导致生产停摆。

但是，当业务系统出现无法访问、生产线停产等现象时，并不能100%确定是服务器感染了勒索病毒，也有可能是遭到DDoS攻击或是中了其他病毒等原因所致，所以，还需要结合以下特征来判断。

二、电脑桌面被篡改

服务器被感染勒索病毒后，最明显的特征是电脑桌面发生明显变化，即：桌面通常会出现新的文本文件或网页文件，这些文件用来说明如何解密的信息，同时桌面上显示勒索提示信息及解密联系方式，通常提示信息英文较多，中文提示信息较少。

下面为电脑感染勒索病毒后，几种典型的桌面发生变化的示意图。

三、文件后缀被篡改

服务器感染勒索病毒后，另外一个典型特征是：办公文档、照片、视频等文件的图标变为不可打开形式，或者文件后缀名被篡改。一般来说，文件后缀名会被改成勒索病毒家族的名称或其家族代表标志，如：GlobeImposter家族的后缀为.dream、.TRUE、.CHAK等；Satan家族的后缀.satan、sicck；Crysis家族的后缀有.ARROW、.arena等。

下面为电脑感染勒索病毒后，几种典型的文件后缀名被篡改或文件图标变为不可打开的示意图。

当我们看到上述三个现象的时候，说明服务器已经遭到勒索病毒的攻击，此时，如果我们仓促的进行不正确的处置，反而可能会进一步扩大自己的损失。

所以，请保持冷静不要惊慌失措，现在我们需要做的是如何最大化的减少损失，并阻止黑客继续去攻击其他服务器。具体操作步骤请见下一章。

第二章 如何进行自救

当我们已经确认感染勒索病毒后，应当及时采取必要的自救措施。之所以要进行自救，主要是因为：等待专业人员的救助往往需要一定的时间，采取必要的自救措施，可以减少等待过程中，损失的进一步扩大。例如：与被感染主机相连的其他服务器也存在漏洞或是有缺陷，将有可能也被感染。所以，采取自救措施的目的是为了及时止损，将损失降到最低。

一、正确处置方法

(一) 隔离中招主机

处置方法

当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，隔离主要包括物理隔离和访问控制两种手段，物理隔离主要为断网或断电；访问控制主要是指对访问网络资源的权限进行严格的认证和控制。

1）  物理隔离

物理隔离常用的操作方法是断网和关机。

断网主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关闭无线网络。

2）  访问控制

访问控制常用的操作方法是加策略和修改登录密码。

加策略主要操作步骤为：在网络侧使用安全设备进行进一步隔离，如防火墙或终端安全监测系统；避免将远程桌面服务（RDP，默认端口为3389）暴露在公网上（如为了远程运维方便确有必要开启，则可通过VPN登录后才能访问），并关闭445、139、135等不必要的端口。

修改登录密码的主要操作为：立刻修改被感染服务器的登录密码；其次，修改同一局域网下的其他服务器密码；第三，修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码，一般要求：采用大小写字母、数字、特殊符号混合的组合结构，口令位数足够长（15位、两种组合以上）。

处置原理

隔离的目的，一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器；另一方面是为了防止黑客通过感染主机继续操控其他服务器。

有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播，如WannaCry勒索病毒，一旦有一台主机感染，会迅速感染与其在同一网络的其他电脑，且每台电脑的感染时间约为1-2分钟左右。所以，如果不及时进行隔离，可能会导致整个局域网主机的瘫痪。

另外，近期也发现有黑客会以暴露在公网上的主机为跳板，再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击，造成更大规模的破坏。

当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，防止病毒继续感染其他服务器，造成无法估计的损失。

(二) 排查业务系统

处置方法

在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。

处置原理

业务系统的受影响程度直接关系着事件的风险等级。评估风险，及时采取对应的处置措施，避免更大的危害。

另外，备份系统如果是安全的，就可以避免支付赎金，顺利的恢复文件。

所以，当确认服务器已经被感染勒索病毒后，并确认已经隔离被感染主机的情况下，应立即对核心业务系统和备份系统进行排查。

(三) 联系专业人员

在应急自救处置后，建议第一时间联系专业的技术人士或安全从业者，对事件的感染时间、传播方式，感染家族等问题进行排查。

个人中招用户可以：通过360安全卫士的反勒索服务，联系专业人士。用户在进入“360安全卫士”-“反勒索服务”选项后，需要同时开启360文档保护和360反勒索服务。开启这两项服务后，若您被感染勒索病毒，点击“申请服务”按钮即可申请理赔。

政企机构中招客户可以联系：360企业安全集团，全国400应急热线：4008136 360 转2 转4。

二、错误处置方法

(一) 使用移动存储设备

错误操作

当确认服务器已经被感染勒索病毒后，在中毒电脑上使用U盘、移动硬盘等移动存储设备。

错误原理

勒索病毒通常会对感染电脑上的所有文件进行加密，所以当插上U 盘或移动硬盘时，也会立即对其存储的内容进行加密，从而造成损失扩大。从一般性原则来看，当电脑感染病毒时，病毒也可能通过U盘等移动存储介质进行传播。

所以，当确认服务器已经被感染勒索病毒后，切勿在中毒电脑上使用U盘、移动硬盘等设备。

(二) 读写中招主机上的磁盘文件

错误操作

当确认服务器已经被感染勒索病毒后，轻信网上的各种解密方法或工具，自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。

错误原理

很多流行勒索病毒的基本加密过程为：

1）首先，将保存在磁盘上的文件读取到内存中；

2）其次，在内存中对文件进行加密；

3）最后，将修改后的文件重新写到磁盘中，并将原始文件删除。

也就是说，很多勒索病毒在生成加密文件的同时，会对原始文件采取删除操作。理论上说，使用某些专用的数据恢复软件，还是有可能部分或全部恢复被加密文件的。

而此时，如果用户对电脑磁盘进行反复的读写操作，有可能破坏磁盘空间上的原始文件，最终导致原本还有希望恢复的文件彻底无法恢复。

第三章 如何恢复系统

感染勒索病毒后，对于政企机构来说，最重要的就是怎么恢复被加密的文件了。一般来说，可以通过历史备份、解密工具或支付赎金来恢复被感染的系统。但是这三种操作都有一定的难度，因此，建议受害者不要自行操作。如果您想恢复系统，请联系专业的技术人员或安全厂商，确保赎金的支付和解密过程正确进行，避免其他不必要的损失。

政企机构中招客户可以联系：360企业安全集团，全国400应急热线：4008 136 360 转2 转4。

一、历史备份还原

如果事前已经对文件进行了备份，那么我们将不会再担忧和烦恼。可以直接从云盘、硬盘或其他灾备系统中，恢复被加密的文件。值得注意的是，在文件恢复之前，应确保系统中的病毒已被清除，已经对磁盘进行格式化或是重装系统，以免插上移动硬盘的瞬间，或是网盘下载文件到本地后，备份文件也被加密。

事先进行备份，既是最有效也是成本最低的恢复文件的方式。

二、解密工具恢复

绝大多数勒索病毒使用的加密算法都是国际公认的标准算法，这种加密方式的特点是，只要加密密钥足够长，普通电脑可能需要数十万年才能够破解，破解成本是极高的。通常情况，如果不支付赎金是无法解密恢复文件的。

但是，对于以下三种情况，可以通过360提供的解密工具恢复感染文件。

1）勒索病毒的设计编码存在漏洞或并未正确实现加密算法

2）勒索病毒的制造者主动发布了密钥或主密钥。

3）执法机构查获带有密钥的服务器，并进行了分享。

可以通过网站（http://lesuobingdu.360.cn/）查询哪些勒索病毒可以解密。例如：今年下半年大规模流行的GandCrab家族勒索病毒，GandCrabV5.0.3及以前的版本可以通过360解密大师进行解密。

需要注意的是：使用解密工具之前，务必要备份加密的文件，防止解密不成功导致无法恢复数据。

三、专业人员代付

勒索病毒的赎金一般为比特币或其他数字货币，数字货币的购买和支付对一般用户来说具有一定的难度和风险。具体主要体现在：

1）   统计显示，95%以上的勒索病毒攻击者来自境外，由于语言不通，容易在沟通中产生误解，影响文件的解密。

2）   数字货币交付需要在特定的交易平台下进行，不熟悉数字货币交易时，容易人才两空。

所以，即使支付赎金可以解密，也不建议自行支付赎金。请联系专业的安全公司或数据恢复公司进行处理，以保证数据能成功恢复。

四、重装系统

当文件无法解密，也觉得被加密的文件价值不大时，也可以采用重装系统的方法，恢复系统。但是，重装系统意味着文件再也无法被恢复。另外，重装系统后需更新系统补丁，并安装杀毒软件和更新杀毒软件的病毒库到最新版本，而且对于服务器也需要进行针对性的防黑加固。

第四章 如何加强防护

一、终端用户安全建议

对于普通终端用户，我们给出以下建议，以帮助用户免遭勒索病毒的攻击：

  养成良好的安全习惯

1）  电脑应当安装具有云防护和主动防御功能的安全软件，不随意退出安全软件或关闭防护功能，对安全软件提示的各类风险行为不要轻易放行。

2）  使用安全软件的第三方打补丁功能对系统进行漏洞管理，第一时间给操作系统和IE、Flash等常用软件打好补丁，定期更新病毒库，以免病毒利用漏洞自动入侵电脑。

3）  密码一定要使用强口令，并且不同账号使用不同密码。

4）  重要文档数据应经常做备份，一旦文件损坏或丢失，也可以及时找回。

  减少危险的上网操作

5）  不要浏览来路不明的色情、赌博等不良信息网站，这些网站经常被用于发动挂马、钓鱼攻击。

6）  不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。

7）  不要轻易打开后缀名为js、vbs、wsf、bat等脚本文件和exe、scr等可执行程序，对于陌生人发来的压缩文件包，更应提高警惕，应先扫毒后打开。

8）  电脑连接移动存储设备，如U盘、移动硬盘等，应首先使用安全软件检测其安全性。

9）  对于安全性不确定的文件，可以选择在安全软件的沙箱功能中打开运行，从而避免木马对实际系统的破坏。

  采取及时的补救措施

10）   安装“360安全卫士”并开启“反勒索服务”，一旦电脑被勒索病毒感染，可以通过360反勒索服务申请赎金赔付，以尽可能的减小自身经济损失。

二、政企用户安全建议

1）  安装天擎等终端安全软件，及时给办公终端打补丁修复漏洞，包括操作系统以及第三方应用的补丁。

2）  针对政企用户的业务服务器，除了安装杀毒软件还需要部署安全加固软件，阻断黑客攻击。

3）  企业用户应采用足够复杂的登录密码登录办公系统或服务器，并定期更换密码，严格避免多台服务器共用同一个密码。

4）  对重要数据和核心文件及时进行备份，并且备份系统与原系统隔离，分别保存。

5）  安装天眼等安全设备，增加全流量威胁检测手段，实时监测威胁、事件。

6）  如果没有使用的必要，应尽量关闭不必要的常见网络端口，比如：445、3389等。

7）  提高安全运维人员职业素养，除工作电脑需要定期进行木马病毒查杀外，如有远程家中办公电脑也需要定期进行病毒木马查杀。

8）  提升新兴威胁对抗能力

通过对抗式演习，从安全的技术、管理和运营等多个维度出发，对企业的互联网边界、防御体系及安全运营制度等多方面进行仿真检验，持续提升企业对抗新兴威胁的能力。

360天擎敲诈先赔服务

2016年9月6日，360企业安全正式宣布，向所有360天擎政企用户免费推出敲诈先赔服务：如果用户在开启了360天擎敲诈先赔功能后，仍感染了敲诈者病毒，360企业安全将负责赔付赎金，为政企用户提供百万先赔保障。

自敲诈者病毒诞生之日起，360企业安全就对该病毒进行了深入的研究，并在百亿级别安全大数据分析的基础上，依托于免疫、QVM机器学习引擎和行为识别等方式，以及独家推出的“文档防护功能”，对敲诈者病毒进行全面的防御和拦截，已经帮助政企用户抵挡住了敲诈者病毒的一轮又一轮攻击。

360安服团队

360企业安全专注于探索安全服务新方向，创新性地提出了新一代安全服务体系及运营理念，以安全数据为基础，利用专业安全分析工具，通过咨询规划、数据分析、预警检测、持续响应、安全运营等一系列服务，在云端安全大数据的支撑下，为客户提供全周期的安全保障服务。

360安服团队在数据分析、攻击溯源、应急响应、重保演习等方面有丰富的实战经验，参与了多次国内外知名APT事件的分析溯源工作，参与了APEC、G20、两会、一带一路、纪念抗战胜利70周年阅兵、十九大、上合峰会等所有国家重大活动安全保障工作，屡获国家相关部门和客户的认可及感谢信。

政企机构中招客户可以联系：360企业安全集团，全国400应急热线：4008 136 360 转2 转4。

360安全监测与响应中心

360安全监测与响应中心，是360为服务广大政企机构而建立的网络安全服务平台，旨在第一时间为政企机构提供突发网络安全事件的预警、通告，处置建议、技术分析和360安全产品解决方案。突发网络安全事件包括但不限于：安全漏洞、木马病毒、信息泄露、黑客活动、攻击组织等。

360安全监测与响应中心兼具安全监测与响应能力：中心结合360安全大数据监测能力与海量威胁情报分析能力，能够全天候、全方位的监测和捕获各类突发网络安全事件；同时，基于10余年来为全国数万家大型政企机构提供安全服务和应急响应处置经验，中心能够在第一时间为政企机构应对突发网络安全事件提供有效的处置措施建议和应急响应方案。

在2017年5月发生的永恒之蓝勒索蠕虫（WannaCry）攻击事件中，360安全监测与响应中心在72小时内，连续发布9份安全预警通告，7份安全修复指南和6个专业技术工具，帮助和指导全国十万余家政企机构应对危机。

联系方式：cert@360.net

声明：本文来自奇安信威胁情报中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。