1、勒索病毒应急勒索病毒应急与与响应手册响应手册V1.0V1.0杭州安恒信息技术股份有限公司二一九年三月勒索病毒应急与响应手册i前言前言勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播，利用各种非对称加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。勒索病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。勒索病毒文件一旦进入本地，就会自动运行。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的 C&C 服务器，进而上传本机信息并下载加密公钥，利用加密公钥对文件进行加密。除了拥有解密私钥的攻击者本人，其他人是几乎不可能解密。加密完成后，通常还会修改壁纸，在桌

2、面等明显位置生成勒索提示文件，指导用户去缴纳赎金。勒索病毒变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以 exe、js、wsf、vbe 等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。勒索过程如下：本手册第 1 章详述如何判断是否已感染勒索病毒，是否已被加密；第 2 章详述当主机处于不同的中毒阶段时，从基础措施和高级措施方向上，分别应如何进行应急响应；第 3 章介绍对于已加密系统的五种处理方式，重要文件需要恢复应分别尝试备份还原、解密、数据恢复、支付解密，价值较低的文件可直接重装系统，并进行主机加固；第 4 章详述如何进行勒索病毒的防治建议，包括五个基础措施和应用终端检测

3、与响应（EDR）产品。通过应用本手册，在不同阶段及时做出响应，尽可能避免或降低损失。勒索病毒应急与响应手册ii目录目录第一章 判断当前状态.1一 感染未加密.1二 感染已加密.2第二章 响应当前状态.4一 基础响应措施.4二 高级响应措施.5第三章 已加密系统的处理办法.7一 备份还原.7二 解密工具.7三 数据恢复.7四 支付解密.7五 重装系统.8第四章 勒索病毒的防治建议.9一 基础防护措施及建议.9二 边界网络检测建议.10三 终端防护建议：终端检测与响应（EDR）.12四 技术支持：安恒信息安全服务.13五 工控环境的适用性.15六 勒索保险.16勒索病毒应急与响应手册领先的应用安全

4、及数据库安全整体解决方案提供商第1 页 共 17 页杭州安恒信息技术股份有限公司杭州总部电话： +86-0571-2886099第一章第一章判断当前状态判断当前状态一一 感染未加密感染未加密从攻击者渗透进入内部网络的某一台主机到执行加密行为往往有一段时间，如果在这段时间能够做出响应，完全可以避免勒索事件的发生。如果有以下情况，可能是处于感染未加密状态：1 1监测设备告警监测设备告警如果使用了监测系统进行流量分析、威胁监测，系统产生大量告警日志，例如“SMB 远程溢出攻击”、“弱口令爆破”等，可能是病毒在尝试扩散。2 2资源占用异常资源占用异常病毒会伪装成系统程序，释放攻击包、扫描局域网络 44

5、5 端口等占用大量系统资源，当发现某个疑似系统进程的进程在长期占用 CPU 或内存，有可能是感染病毒。勒索病毒应急与响应手册领先的应用安全及数据库安全整体解决方案提供商第2 页 共 17 页杭州安恒信息技术股份有限公司杭州总部电话： +86-0571-2886099二二 感染已加密感染已加密勒索病毒的目的是索要赎金，所以会加密文件并在明显位置留下勒索信，通过这两点可以判断系统是否已经被加密。1 1统一的异常后缀统一的异常后缀勒索病毒执行加密程序后会加密特定类型的文件， 不同的勒索病毒会加密几十到几百种类型的文件，基本都会包括常见的文档、图片、数据库文件。当文件夹下文件变成如下统一异常不可用后缀

6、，就是已经被加密了。2 2勒索信或桌面被篡改勒索信或桌面被篡改勒索病毒加密文件的最终目的是索要赎金， 所以会在系统明显位置如桌面上留下文件提示，或将勒索图片更改为桌面。勒索信绝大多数为英文，引导被勒索的用户交赎金。勒索病毒应急与响应手册领先的应用安全及数据库安全整体解决方案提供商第3 页 共 17 页杭州安恒信息技术股份有限公司杭州总部电话： +86-0571-2886099勒索病毒应急与响应手册领先的应用安全及数据库安全整体解决方案提供商第4 页 共 17 页杭州安恒信息技术股份有限公司杭州总部电话： +86-0571-2886099第二章第二章响应当前状态响应当前状态一一 基础响应措施基础