勒索病毒操作流程.doc
勒索病毒
传播途径
勒索病毒勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来, 勒索病毒利用本地的互联访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥,利用公钥对文 件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置 生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软都具有免疫性。攻击的样本以 exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
同时,在沙箱分析过程中发现了该样本大量的反调试行为,用于对抗调试器的分析,增加了调试和分析的难 度。
应对方案
根据勒索病毒的特点可以判断,其变种通常可以隐藏特征,但却无法隐藏其关键行为,经过总结勒索病毒在 运行的过程中的行为主要包含以下几个方面:
1、通过脚本文件进行Http请求; 2、通过脚本文件下载文件; 3、读取远程服务器文件; 4、收集计算机信息; 5、遍历文件; 6、调用加密算法库。 为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手: 1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击; 2、尽量不要点击office宏运行提示,避免来自office组件的病毒感染;
勒索病毒
新型的电脑病毒
01 传播途径
03 病毒规律
目录
02 攻击对象 04 病毒分析
目录
05 样本运行流程
07 相关事件
06 应对方案
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、页挂马的形式进行传播。该病毒性质恶劣、危害 极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法 解密,必须拿到解密的私钥才有可能破解。
网络安全应急预案处理勒索软件攻击事件的步骤和流程
网络安全应急预案处理勒索软件攻击事件的步骤和流程在当今数字化时代,网络安全事件对个人、企业和社会造成了严重威胁。
特别是勒索软件攻击,已经成为一种普遍而危险的网络威胁形式。
为了有效应对勒索软件攻击事件,建立一套完善的应急预案至关重要。
本文将介绍网络安全应急预案处理勒索软件攻击事件的具体步骤和流程。
一、事件识别与确认1. 监测系统报警:建立交互式实时监测系统,通过监测异常流量、网络连接、日志以及系统错误信息来警示潜在的攻击事件。
2. 威胁情报收集:与相关组织和机构建立信息共享的渠道,及时获得最新的网络威胁情报,并将其与自身系统进行对比分析。
3. 确认攻击事件:根据系统报警和威胁情报分析结果,确认是否遭受勒索软件攻击,并确定攻击类型、程度和受影响的范围。
二、紧急响应与控制1. 关闭受感染设备:立即隔离或下线受到勒索软件感染的设备,以防止恶意软件继续传播与扩散。
2. 启动备份系统:使用未被感染的备份数据和系统恢复关键业务信息,确保业务的正常进行。
3. 收集证据:记录并保存攻击事件相关的日志、截图、文件和网络连接等信息,作为后续调查和追溯的证据。
4. 加固系统防护:根据攻击事件的特点,修复系统漏洞、更新安全补丁、加强密码策略、增强防火墙设置等,提升系统的抵御能力。
三、分析和清除1. 攻击源追踪:通过分析攻击者的IP地址、邮件、病毒、漏洞等信息,追踪攻击源头,获取攻击者的身份和行为特征。
2. 恶意代码清除:利用杀毒软件和安全工具对受感染的系统进行全面扫描,清除或隔离恶意代码及其相关文件。
3. 受损系统修复:对已受到破坏或篡改的系统和数据进行修复和还原,确保系统功能的正常恢复。
四、恢复与预防1. 业务恢复:根据备份数据和系统进行业务恢复,确保关键业务的正常运行,减少勒索软件攻击带来的损失。
2. 事件评估与总结:对整个事件的应急响应过程、影响范围和损失情况进行评估与总结,为今后的安全防护提供参考。
3. 安全培训与宣传:加强员工的网络安全培训,提高他们对勒索软件攻击的认识和识别能力,减少安全漏洞的风险。
企业中了勒索病毒的处置及预防方法
企业中了勒索病毒处置经验分享企业在发现一台或多台机器感染勒索病毒后,IT人员和安全人员可按照如下流程进行正确处置(如果企业没有设置信息安全岗位,建议立即联系第三方专业安全服务公司协助处置)。
一、确认勒索病毒感染迹象勒索病毒感染后,桌面或文件夹通常会出现英文名的网页文件,可通过浏览器打开,主要是英文信息,显示勒索提示信息及解密联系方式等;同时很多文件被加上乱七八糟的带有勒索病毒攻击者邮箱地址信息的后缀名,文件不能被正常打开。
二、隔离已感染机器,避免勒索病毒进一步扩散对存在上述勒索病毒感染迹象的机器,应立即实施网络或物理隔离,避免勒索病毒通过公司有线和无线网络继续传播。
隔离方法包括:1.已感染的无线上网机器,禁用无线网卡;2.已感染的有线上网用户,禁用有线网卡,同时拔掉机器的物理网线;3.如果同一网段有多台机器感染,可通过交换机进行断网,或修改无线网络密码;4.已感染关键岗位电脑和重要服务器,立即关机,避免勒索病毒进一步加密所有文件;5.专人整理感染机器列表,供后续处置。
三、对暂未感染勒索病毒的机器进行加固,防止可能的感染途径勒索病毒感染一台机器后,会通过文件共享、操作系统远程利用漏洞、账号弱密码等方式,进一步获取其它机器或AD服务器的账号,从而进行全网络感染。
对暂未明确发现感染勒索病毒迹象的机器,基于勒索病毒的传播方法和传播途径,可采取一些基本的安全措施快速进行防护,避免感染。
这些安全措施包括:1.修改个人电脑、应用服务器、域控服务器登录密码,修改为强密码;2.禁用guest账号;3.统一关闭135、139、445、3389等高危端口,关闭RDP服务;4.安装主流防病毒软件进行防护和查杀;5.更新操作系统安全补丁。
四、分析已感染机器,提取病毒特征如果能够快速定位出勒索病毒文件特征(如进程名称,执行路径,文件大小,md5值,自启动位置,进程保护文件等),可立即开始全网排查,找出网络内其它已感染的机器并进行隔离,从而减少整个勒索病毒事件的处置时间,降低勒索病毒给企业带来的危害和损失。
WannaCry勒索病毒紧急处理(通用版)
WannaCry勒索病毒紧急处理(通用版)(本文适用于任何条件,纯普通用户操作)由于该病毒已在全球爆发,且中毒后会造成电脑上的绝大部分文件被加密,目前无有效解决办法。
1,漏洞未处理完成,请勿随意插入U盘,打开他人发过来的文件,或邮件附件。
2,如果已中病毒,请马上强制关机(防止感染他人),并上报行政部。
已中毒界面如下:未中病毒防护步骤1,临时断开网络2,停止server服务3,开启系统防火墙4,关闭445端口5,开启网络6,安装检测工具7,通过360卫士打补丁8,检测工具验证OK详细处理步骤:一、临时断开网络1,使用网线上网,请直接拔网线2,使用WIFI上网,请断开无线网络连接或禁用网卡。
如下:二、停止server服务1,左下角点击“开始”,输入services.msc进入“服务”,找到名称为“server”,双击打开先“停止”,再“禁用”三、开启系统防火墙打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙选择“启用windows防火墙”,如下图选择,确定。
四、关闭445端口(XP系统不适用)1,点击“高级设置”,2,先点击“入站规则”,再点击“新建规则”,如下图:3,选择“端口”,下一步4,选择TCP,特定端口输入4455,选择“阻止连接”6,配置文件,都选7,规则名称,任意,如Deny445TCP8,生成规则如下:9,再次从1-8过程,生成一个新的入站规则,其中第“4”选择UDP,五、恢复正常网络1,使用网线上网,请直接插上网线2,使用WIFI上网,请连接无线网络,六、安装检测工具下载检测工具,/nsa/nsatool.exe 运行,并查看结果有发现漏洞,如下图:请点击“立即修复”未发现漏洞,如下图:七、通过360卫士打补丁检测工具会自动提示下载360卫士,同意安装。
进入“系统修复”--“漏洞修复”,一键修复。
等待完成,时间较长。
八、检测工具验证OK再次使用检测工具,如果提示“经检测,未发现您的电脑存在该漏洞”则修复完成,否则,请重新进行第“七”步骤,进入360安全卫士—漏洞修复,进行。
西电双创周选修作业--勒索病毒原理与防范措施及应急响应
勒索病毒原理与防范措施及应急响应勒索病毒的概念:勒索病毒是一种流行木马,通常采用绑架用户文件的方式,使用户数据资产及计算机资源无法使用,并以此为条件向用户勒索钱财。
这类用户的数据资产通常包含数据库、文档、邮件、源代码、图片等,赎金的形式包括真实的货币、比特币或者其他虚拟货币。
勒索病毒的攻击原理:勒索病毒攻击一般分为5个步骤:攻击系统、植入病毒、实施破坏、勒索用户、挂载密码,其中前四个步骤为常见步骤,第五个步骤为部分变种病毒所特有。
下面将详细地分别介绍勒索病毒攻击的五个步骤。
(1)系统攻击:勒索病毒的系统攻击手段包括蠕虫攻击和木马植入两种。
蠕虫攻击是指基于“永恒之蓝”攻击工具开发的针对MS17-010漏洞的蠕虫病毒的攻击行为。
永恒之蓝是由美国国家安全局开发的漏洞利用程序,对应微软漏洞编号ms17-010(很多时候我们也将微软漏洞MS17-010也称为“永恒之蓝”)。
以WannaCry病毒为例,它先利用方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描攻击。
初始攻击是由黑客主动发起,一旦系统存在可利用的SMB漏洞,蠕虫病毒就能入侵主机。
主机被入侵后,就会作为新的攻击主机向其他局域网主机发起攻击,形成蠕虫感染,大范围超快速扩散。
木马植入是指通过运行挂载的木马程序,从系统内部打开病毒入侵的端口,并以此为源头向其他局域网主机发起攻击。
2020年4月,网络上还出现过一种名为“WannaRen”的新型勒索病毒。
该病毒的后缀为“.WannaRen”,赎金为0.05个比特币,曾在国内外肆意传播。
安恒信息威胁情报中心对勒索事件进行溯源分析,发现该病毒的攻击流程:用户使用非官方渠道下载精心打包的恶意程序,再由恶意程序执行powershell下载后续载荷,完成攻击过程。
(2)植入病毒:植入病毒是指被攻击的主机通过被开放的端口传输病毒代码。
被传输的病毒代码最早是通过远程控制注入,如果局域网中有一台主机被攻陷,那么这台被攻陷的主机就会被作为支撑,向新的局域网发起攻击并注入病毒。
勒索病毒的预防和处置方法
二、Win7、Win8、Win10系统 开启系统防火墙及关闭445端口处理流程
8、配置文件,全选,下一步
勒索病毒的预防和处置方法
图8
第12页
二、Win7、Win8、Win10系统 开启系统防火墙及关闭445端口处理流程
9、名称,能够任意输入,完成即可。
勒索病毒的预防和处置方法
图9
第13页
二、Win7、Win8、Win10系统 开启系统防火墙及关闭445端口处理流程
勒索病毒的预防和处置方法
第15页
三、下载360安全卫士,升级病毒库版本,进行漏 洞修复。
选择“系统修复”项,对电脑进行漏洞修复。
勒索病毒的预防和处置方法
第16页
三、下载360安全卫士,升级病毒库版本,进行漏 洞修复。
勒索病毒的预防和处置方法
确保电脑已修复全部问题。
第17页
请按照图3—9操作方法依次关闭 135、137、138、139端口,最终一 步输入名称时,请一定不要与前面 输入名称相同。
勒索病毒的预防和处置方法
第14页
三、下载360安全卫士,升级病毒库版本,进行漏 洞修复。
下载并安装360安全卫士,请点图左上角箭头,确认主程序版 本为11.4.及以上版本,升级病毒库版本。
针对比特币勒索病毒预 防及处理方法
勒索病毒的预防和处置方法
第1页
近日,全球暴发基于Windows系统进行传输 勒索病毒,用户受感染情况严重,已造成重大损 失。
假如电脑中毒话,硬盘内全部数据有可能被
破坏,需要格式化硬盘,重做系统,将会带来重 大损失。
按照自治区网信办应急领导小组紧急通知,
为保障我校工作正常开展。经学校领导同意,信 息办特制订以下操作流程,希望每个老师认真阅 读,先在自己家中电脑进行操作,熟悉后,明天 在学校办公室及班级对电脑以下操作。
计算机服务器中了locked勒索病毒的正确处理流程,locked勒索病毒解密
计算机服务器中了locked勒索病毒的正确处理流程,locked勒索病毒解密随着网络技术在企业生产运营中的进行,越来越多的企业开始利用网络走向数字化办公模式,数字化办公是企业的较为智能与先进的办公系统,这要求企业在日常工作中要确保计算机系统的安全,以防网络安全威胁时间的产生。
近期,云天数据恢复中心接到很多企业的求助,企业的计算机服务器遭到了locked勒索病毒攻击,导致企业所有业务中断,严重影响了企业生产运营。
经过云天数据恢复工程师对近期locked勒索病毒的解密,为大家整理了正确处理locked勒索病毒的流程。
一,Locked勒索病毒处理流程(1)断网断连接,当发现计算机服务器被locked勒索病毒攻击,我们应该立刻断开网络连接,并且切断计算机与其他计算机或设备的连接,以防勒索病毒的传播。
(2)结束加密进程,勒索病毒是计算机上的一种加密程序,如果该计算机中了勒索病毒,我们打开计算机后应该先结束加密进程,预防后期操作过程中产生新的加密,同时按下ctrl+ail+delet键,进入任务管理器结束加密操作。
(3)拷贝加密文件,当计算机上的重要数据被加密后,我们需要对需要解密恢复的加密数据进行拷贝,以防在后期数据恢复过程中带来给源文件带来的损坏,为二次恢复带来困难。
(4)咨询专业机构,勒索病毒有着严密的加密程序,非专业技术人员很难破解,并且同一种病毒的加密程序一直在升级,解密方式也在发生变化,网络上的解密工具一般很难破解。
只有专业的数据恢复机构对勒索病毒解密有着丰富的经验,针对不同的勒索病毒可以制定出不同的解密方案。
(5)安装防护软件,当计算机重要数据恢复完成后,我们应该对计算机进行全盘扫杀格式化,重装系统部署相应的应用软件,之后才能导入恢复的数据完成恢复操作,然后再对计算机系统做好安全防护,预防特殊情况的发生。
二,Locked勒索病毒解密方案(1)整机解密,整机解密就是可以将计算机上的所有文件包括数据库文件,各类办公图档或视频,不限文件格式进行全面恢复的解密方式,这种解密方式数据恢复完成度高,数据不容易丢失,但一般费用相对昂贵。
WannaCry勒索病毒紧急处理(通用版)
WannaCry勒索病毒紧急处理(通用版)(本文适用于任何条件,纯普通用户操作)由于该病毒已在全球爆发,且中毒后会造成电脑上的绝大部分文件被加密,目前无有效解决办法。
1,漏洞未处理完成,请勿随意插入U盘,打开他人发过来的文件,或邮件附件。
2,如果已中病毒,请马上强制关机(防止感染他人),并上报行政部。
已中毒界面如下:未中病毒防护步骤1,临时断开网络2,停止server服务3,开启系统防火墙4,关闭445端口5,开启网络6,安装检测工具7,通过360卫士打补丁8,检测工具验证OK详细处理步骤:一、临时断开网络1,使用网线上网,请直接拔网线2,使用WIFI上网,请断开无线网络连接或禁用网卡。
如下:二、停止server服务1,左下角点击“开始”,输入services.msc进入“服务”,找到名称为“server”,双击打开先“停止”,再“禁用”三、开启系统防火墙打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙选择“启用windows防火墙”,如下图选择,确定。
四、关闭445端口(XP系统不适用)1,点击“高级设置”,2,先点击“入站规则”,再点击“新建规则”,如下图:3,选择“端口”,下一步4,选择TCP,特定端口输入4455,选择“阻止连接”6,配置文件,都选7,规则名称,任意,如Deny445TCP8,生成规则如下:9,再次从1-8过程,生成一个新的入站规则,其中第“4”选择UDP,五、恢复正常网络1,使用网线上网,请直接插上网线2,使用WIFI上网,请连接无线网络,六、安装检测工具下载检测工具,/nsa/nsatool.exe 运行,并查看结果有发现漏洞,如下图:请点击“立即修复”未发现漏洞,如下图:七、通过360卫士打补丁检测工具会自动提示下载360卫士,同意安装。
进入“系统修复”--“漏洞修复”,一键修复。
等待完成,时间较长。
八、检测工具验证OK再次使用检测工具,如果提示“经检测,未发现您的电脑存在该漏洞”则修复完成,否则,请重新进行第“七”步骤,进入360安全卫士—漏洞修复,进行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关于应对勒索病毒相关事宜的紧急通知
各研究所、中心、室、厂、站、队、机关及各直属部门:
5月12日晚开始,在国内外网络中陆续出现针对windows 操作系统的勒索病毒,该病毒基于网络途径传播,对计算机文件进行加密破坏,部分服务器和个人计算机收到攻击,部分系统目前不能正常使用。
根据** 公司和局信息管理部要求,关闭办公网络及相关服务器,对于各办公室机器,具体安排如下:一、对于未中毒的设备
1、断网。
2、关闭445 端口。
(具体操作见附件)
3、按照windows 版本运行相应的补丁。
4、安装NAS免疫工具。
5、使用查杀工具杀毒。
二、对于中毒的设备
1、断网、登记。
2、原则上全盘格式化,重新安装操作系统。
3、关闭445 端口。
(具体操作见附件)
4、按照windows 版本运行相应的补丁。
(以分发至各所)
5、安装NAS免疫工具。
注:补丁、免疫工具及查杀工具已分发至各所
技术支持电话:7805870
注意:实施之前请拔掉网线。
进行如下两步操作:1、关闭445端口,2、打补丁
关闭445端口流程
一、单击开始”一一运行”,输入“regedit ”,单击确定”按钮,打开注册表。
、找到注册表项
HKEY_LOCAL_MACHINE \System\Curre ntCo ntrolSet\Services\NetBT\Parame
o
ters
paiqeu3eo!Aaag|/\IS… adOMQ # '同
侑》莹邂帥(7)>S C3)g$»
宿)扫苴
■
(5)18 SMS®
■ ・
㈢則宙捷去翌
(3)串右
讯)曰塞母古金
0)a}QyOMa
⑻g :題
⑺劇H
(5»s&±
…0烘蔓
h
的冋
[ 1
9^
° a IKldOMQ … —— “iOg
仲寅韜孚顶 a sjejaiiiejed… t® '三
501 fl w rn '* Axojdorj rn * “柄补n 由
测裁o + icfeism rj !+ SICBM O 卡
【IP “声w n > 【姮】归;中阻® L + 5w rj 匡 5Ct|qW55LU 厂 + WbdSW 1+ SDcro 却 n :+
S sacejjaim |
TTS — mt
电:押i —-
umug W\ - 193®N LI
六、在出现的 编辑DWORD 值”对话框中,在 数值数据”下,输入“0”,单击 确定”按钮, 完成设置。
'七、我的电脑右键管理 服务和应用程序 服务
«S\ SessionkeepAI ive
88] Ske/Smdl/Medium/Large
REG_DWOftD REG DWORD
JiMBDeviceEnaHed
五、右键单击 “ SMBDeviceE nabled 值,选择 修改”
八、找到Server 双击,选择启动类型:禁用,确
定。
九、保存,重启电脑。
重启后查看netstat -an 查看445端口关闭情况。
打补丁
请根据本机操作系统自行选择补丁安装,双机安装包安装即可,安装过程耐心等待,请勿强制关闭程序或重启计算机。
安装结束后请重启计算机。
注意:实施之前请拔掉网线。
进行如下两步操作:1、关闭445端口,2、打补丁
关闭445端口流程
、单击开始”一一运行”,输入“regedit ”,单击确定”按钮,打开注册表。
二、找到注册表项
“ HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\NetBT\Parame ters ”
paiqeu3eo!Aaag|/\IS… adOMQ # '同
侑》莹邂帥(7)>S C3)g$»
宿)扫苴
■
(5)18 SMS®
■ ・
㈢則宙捷去翌
(3)串右
讯)曰塞母古金
0)a}QyOMa
⑻g :題
⑺劇H
(5»s&±
…0烘蔓
h
的冋
[ 1
9^
° a IKldOMQ … —— “iOg
仲寅韜孚顶 a sjejaiiiejed… t® '三
501 fl w rn '* Axojdorj rn * “柄补n 由
测裁o + icfeism rj !+ SICBM O 卡
【IP “声w n > 【姮】归;中阻® L + 5w rj 匡 5Ct|qW55LU 厂 + WbdSW 1+ SDcro 却 n :+
S sacejjaim |
TTS — mt
电:押i —-
umug W\ - 193®N LI
圈SessionKeepAI rve fiff]
Size/Snidl/Mediuni /Lar ge
五、右键单击“ SMBDeviceE nabled 值,选择修改”。
六、在出现的编辑DWORD值”对话框中,在数值数据”下,输入“0”,单击确定”按钮, 完成设置。
REG_DWORD
REG DWORD
七、保存,重启。
重启后查看netstat -an 查看445端口关闭情况。
打补丁
请根据本机操作系统自行选择补丁安装, 双机安装包安装即可,安装过程耐 心等待,请勿强制关闭程序或重启计算机。
安装结束后请重启计算机。
vJUsers\MK>netstat ^an
协议
TCP 本地地址
外部地址
状态
B.8.a.9:0 LJSILNLNG
TCP
S.9-3.0=443
0.0.B.O :0
LISTENING
TCP D.B 』.匪902 0.0.0:6 Ll&TLMLNC TCP 8.9.0.0-912 8.6.0.e ;S IilSTfNLNG TCP
K. »_0.(J :b357
L1SHN1NG
TCP
B.9.0.Q=4?54& H.0.0.0:S LISTENING
TCP n.a_49i^2 R.n.a.n :o L]£T£N1MC TCP e.9.Q.Q=491G3 0.e.0.8:e LlGTrNlHG TCP
B.0.0.0149154
e.e.8.0:0 LISTENING
TCP e-0.0r B :4n55 0.S.0.0:s
LISTENING TCP
8-0-0.0:49157
0.S_8.8:B
LlATFNtNG
TCP 127.0.0.1
0.Q.0.G :G L1CTEM1NC TCP 127-0.0.1 4812 0.@.8.0;8
LISTENING TCP
127.0.0.1 4(413
0.e.«.0:e
LJ^ILNING TCP
127.0.0.1 4300
LISTENING TCP 127*0.0.1 4^01 0.Q.8.0:B L1STEN1MC TCP 127-0.0.1 030?
0.@.8.0;8 LISTENING TCP
127JH.U.1 27015
0.».0.U :U LISTENING TCP
127.0.0.1 27382 0.B.0.0:B
LISTENING TCP 192^1fcR 2.
.1:139
L1STINTNC
讯言雯豆:匚:\讪 mJcwii-. sy 珀 ern 孑 cm d .
exe。