各二级院(部)、处(室、中心、馆):

  自2014年以来,随着比特币等加密数字货币在全球的广泛使用,勒索病毒从Locky、Cerber、WannaCry、NotPetya、GlobeImposter、Crysis、Satan等到后来的GandCrab、MindLost、Blackrouter、Avcrypt、Scarab、Paradise,乃至XiaoBa、麒麟2.1等国产化勒索病毒,阵营不断壮大的同时,变种也不断增多,面临的信息安全风险也不断加大,在此对勒索病毒的排查及应急处置做简单介绍:

  一、2019年流行的三大勒索病毒
  (1)GandCrab勒索病毒。作为首个使用达世币为赎金的勒索病毒——GandCrab勒索病毒,自2018年首次出现后经过5次版本迭代,影响波及罗纳尼亚、巴西、印度等数十个国家地区,全球累计超过150万用户受到威胁,GandCrab团队累计收入高达20亿美金,却因避开了战火中的叙利亚地区,被部分人称为“侠盗病毒”。2019年6月,GandCrab团队高调宣布停止更新勒索程序,从此隐退。
  (2)Sodinokibi勒索病毒。随着GandCrab病毒的隐退,勒索病毒攻击本该有所收敛,但是它的继任者Sodinokibi勒索病毒却接力登场。Sodinokibi采用的攻击手段是“先攻破一台,再覆盖全网”,特点是将受害者屏幕变成深蓝色DeepBlue,并且以2500-5000美金不等的赎金向全球撒网。在不到半年时间里,该勒索病毒已非法获利数百万美元。
  (3)十二生肖之GlobeImposter勒索病毒。元老级勒索病毒GlobeImposter(“十二生肖”病毒),主要通过RDP远程桌面弱口令漏洞进行攻击。该病毒攻击成功后,会以“十二生肖英文名+4444”的后缀名对文件进行加密。GlobeImposter自2017年5月首发至今,已历经八个版本迭代,并且后缀也从“十二生肖”变身希腊“十二主神”。
因勒索病毒的种类繁多,在应急处置时,首先需确定感染的勒索病毒种类是什么,最简单的方式是通过勒索信息或被加密的文件后缀名进行判断。

  二、传播方式
  勒索病毒的传播方式有很多,如服务器入侵传播、利用漏洞传播、邮件附件传播、通过软件供应链传播和网页挂马传播等,以下是最常见的几种传播方式:
  (1)钓鱼邮件。钓鱼邮件是指黑客伪装成用户信任的人,通过发送电子邮件的方式,诱使用户回复邮件、点击嵌入邮件正文的恶意链接或者打开邮件附件以植入木马或间谍程序,进而窃取用户信息,或者在设备上执行恶意代码实施进一步的网络攻击活动。这类传播方式的针对性较强,主要瞄准公司企业、政府单位和院校,因为此类用户电脑中的文档往往不是个人文档,而是办公文档。
  (2)服务器入侵传播。黑客首先通过弱口令、系统或软件漏洞等方式获取用户名和密码,再通过RDP(远程桌面协议)远程登录服务器,一旦登录成功,黑客就可以在服务器上为所欲为,如卸载安全软件并手动运行勒索软件。服务器被成功入侵主要是管理员的账号密码被破解,主要原因有:系统管理员使用弱密码,被黑客暴力破解;黑客利用病毒或木马潜伏在用户电脑中,窃取密码;黑客从网络黑市直接购买账号和密码。黑客得到系统管理员的账号和密码后,再通过远程登录服务器,对其进行相应操作。
  (3)软件供应链来源攻击。对于各大组织、软件提供商以及业务合作伙伴来说,三者之间的信任基础就是软件供应链,因此软件供应链漏洞自然而然就会成为攻击者的目标之一,且很多第三方供应商急于让产品上市,因此更可能会忽略软件安全性测试以及源代码的安全保护。2015年曝出的Xcode、Juniper VPN,2017年爆发的Fireball、暗云III、NotPetya、异鬼II、Kuzzle、假冒“老毛桃”、隐魂、XShell、CCleaner 、Arris的调制解调器,以及2018年国产“cheat”后门事件、WebLogic、JBOSS和Tomcat系列漏洞等均属于软件供应链攻击。

  三、应急处置方法
  (1)隔离受感染主机。可采用物理隔离(如断网或关机)或者访问控制(如通过交换机、路由器和防火墙加策略等)来实现。一方面防止受感染主机通过网络继续感染其他机器,另一方面防止黑客通过感染主机继续入侵操控其他服务器。
  (2)确定勒索病毒种类。不同病毒感染后释放样本的特征不一样,且传播方式有差别,可综合分析识别出病毒种类。
  (3)溯源出被入侵的首台主机。有几种途径:根据病毒释放特征样本的时间追溯;查看系统安全日志(如3389端口连接日志等),在一定时间段内追溯;从各类网络设备日志的连接信息进行时间追溯。若日志被删除,则尝试在主机上查找相关病毒样本或可疑文件,通过可疑文件推测入侵方式。
  (4)溯源入侵IP。对首台受感染主机进行入侵检测排查,一是文件分析,查看临时目录、浏览器记录与下载文件、System32目录与hosts文件;二是网络行为排查,排查网络连接和流量分析;三是进程分析,如进程名字异常与伪装、进程信息排查、模块空间检查;四是启动项排查,如Login启动项、服务启动项、定时或计划任务。
  (5)数据恢复。绝大多数勒索病毒使用的加密算法都是国际公认的标准算法,这类加密技术的特点是只要加密密钥足够长,普通电脑可能需要数万年才能够破解,破解成本极高。有几种情况可进行解密和数据恢复:一是勒索病毒设计编码存在漏洞;二是勒索病毒制造者已发布密钥或密码;三是执法机构查获用户密钥。

  请各单位加强对系统的防护及排查工作,对相关漏洞风险进行检查修复,强化风险防范意识,加强宣传教育,及时消除安全问题,加强网络安全监测预警,提高网络安全保护能力,确保网络安全。

  各单位遇有相关安全问题,请及时与信息中心联系。

信息中心
2020年4月27日