中了勒索病毒,首先明确好当前资产现状,确认好灾情。制定一个表格,确认好哪些资产是被勒索病毒感染,哪些目前还比较安全,哪些是服务器,哪些是PC机等等。一共有多少台主机中招,多少台是服务器,多少台是终端。所中勒索病毒,是否为同一种?
建议需梳理的参考表格如下:
根据灾情状况,第一时间将所有中招主机进行网络隔离,建议采取物理隔离方式如拔网线,这样可以防止进一步扩散,造成二次伤害。至于其它未中招的主机,建议根据灾情实际情况,选择是否隔离网络。理论上来讲,如何灾情特别严重,建议所有主机都隔离网络,待应急结束,加固完成后,再放通网络。
中招主机隔离后,建议保留现场,不要破坏环境或者格式化系统,除非不需要做溯源取证和入侵原因分析,不然会给后续做防御加固、解密恢复带来困难。通常来讲,中招主机也不要断电,不要重启,如果真的需要数据恢复,可以找专业的厂商来解决。
确认诉求,是勒索病毒应急响应的核心。
首先,受害者企业必须知道自己的核心诉求是什么,其次应急响应人员必须根据核心诉求,按照紧急程度依次开展工作。诉求可能有哪些呢?包括:数据解密、加固防御、入侵分析(溯源取证)、样本分析、企业内网安全状况评估等等。总之,会有一个优先级,哪些是受害者最关心的,则优先投入,优先响应排查。
提取系统日志:将C:\Windows\System32\winevt目录拷贝一份到桌面,然后在桌面上将其压缩为以中招主机命名的压缩包,例如:192.168.1.1-windows-log.zip
提取加密文件:选取若干文件较小的被加密文件,留作后面解密尝试,以及用于判断勒索病毒家族。
4.1 判断病毒是否还在进行加密
使用everything文件检索工具,搜索被加密文件,比如文件加密后缀为“Ares666”,那么就搜索“*.Ares666”,按修改时间排序,观察是否有新的被加密文件,如下图:
如果正在加密,立刻关机,关机后可将磁盘进行刻录用来分析;如果已经停止加密,则继续进行下面步骤。
4.2 判断病毒文件是否在本机
由于勒索病毒通常都会对其所能访问到的共享文件夹进行加密,所以病毒文件有可能并不在被加密的主机中。
判断方法为:观察是否只有部分文件夹被加密,由于勒索病毒一般都是全盘加密的,除了排除几个系统文件夹比如“Windows”等以保证系统正常运行外,对于其他文件夹都是无差别加密,所以只有部分文件夹被加密一般都是共享文件夹的情况,查看被加密的文件夹属性,看是否都为共享就可确认。
4.3 收集系统日志文件
Windows系统日志目录为“C:\Windows\System32\winevt\Logs”,整个打包出来就行了,原始文件可能会比较大,压缩后会小很多。(直接压缩可能会失败,原因是文件被占用,将Logs目录拷贝到桌面再压缩即可。)
4.4 采集家族信息
被加密的文件不是样本,只需要把完整的加密后缀、勒索文本/弹窗一起保存或截图反馈即可,请注意截图一定要完整和清晰。
提供的信息,例如:
勒索解密截图:
加密文件后缀:
4.5 查找病毒文件
勒索病毒文件通常都比较新,可以使用everything搜索“*.exe”,按修改时间(或创建时间)排序,如下:
通过目录和文件名猜测可能的病毒文件,一般可能性比较大的目录包括:
“C:\Windows\Temp”
“C:\Users\[user]\AppData\Local\Temp”
“C:\Users\[user]\Desktop”
“C:\Users\[user]\Downloads”
“C:\Users\[user]\Pictures”等等
病毒文件名或伪装成系统文件如“svchost.exe”、“WindowsUpdate.exe”,或直接用加密后缀命名如“Ares.exe”、“Snake.exe”,或者其他奇怪的名字如“dll.exe”等等。总之,就是看起来“不太正常”的exe文件(文中的[user]通指的当前系统的用户名,用户名可能是administrator,也可能是具体人名,请根据实际用户名进行替换)。
按照这样的方法找到可疑文件,可以通过查询VirusTotal(计算md5查询,最好不要直接上传文件)、在虚拟机中运行或者直接提供给网络安全团队进行确认。
大多数情况下使用这种方法都能够找到病毒文件,找不到的话可以用深信服EDR产品或工具全盘扫描。另外由于一些病毒有自删除行为,所以不一定能找到病毒文件,比如CryptOn。
下一篇:勒索病毒防止入侵以及如何解密
添加微信