2019年11月份以來接到不下于5家的企業(yè)遇到了勒索病毒的入侵，其中最為嚴(yán)重的是“Globelmposter也就是“十二生肖”V2.0、V3.0來襲”

開機(jī)后彈出：

黑客勒索0.6個(gè)比特幣！

通過上面的截圖我們可以看到

#加密的時(shí)間是11月2日23點(diǎn)05分左右

#后綴名基本上以“十二生肖”英文結(jié)尾

#每一個(gè)文件夾都有一個(gè)開執(zhí)行文件HOW TO BACK YOUR FILES.EXE 的文件，運(yùn)行這個(gè)文件彈出勒索信息

試了幾個(gè)主流的解密工具，均無效！

桌面新建幾個(gè)文檔都沒有被加密，可能病毒源文件已經(jīng)被黑客清除

系統(tǒng)日志也已經(jīng)被黑客清空。。。

被黑原因：

運(yùn)維人員為了方便運(yùn)維，將自己的電腦開啟RDP，并且用防火墻直接映射在了公網(wǎng)，為Globelmposter的入侵做好了準(zhǔn)備，這就是一盤菜啊。

作為一名安全應(yīng)急響應(yīng)人員，該如何去處理勒索病毒，可以給客戶提供哪些勒索病毒防范措施和應(yīng)急響應(yīng)指導(dǎo)等。

關(guān)于勒索病毒，信息化技術(shù)人員需要做的：

1. 一、部署可靠高質(zhì)量的防火墻、安裝防病毒終端安全軟件，檢測(cè)應(yīng)用程序、攔截可疑流量，使防病毒軟件保持最新，設(shè)置為高強(qiáng)度安全防護(hù)級(jí)別，還可以使用軟件限制策略防止未經(jīng)授權(quán)的應(yīng)用程序運(yùn)行

2. 二、關(guān)注最新的漏洞，及時(shí)更新電腦上的終端安全軟件，修復(fù)最新的漏洞

3. 三、關(guān)閉不必要的端口，目前發(fā)現(xiàn)的大部分勒索病毒通過開放的RDP端口進(jìn)行傳播，如果業(yè)務(wù)上無需使用RDP，建議關(guān)閉RDP，以防止黑客通過RDP爆破攻擊

4. 四、培養(yǎng)員工的安全意識(shí)，這點(diǎn)非常重要，如果企業(yè)員工不重視安全，遲早會(huì)出現(xiàn)安全問題，安全防護(hù)的重點(diǎn)永遠(yuǎn)在于人，人也是最大的安全漏洞，企業(yè)需要不定期給員工進(jìn)行安全教育的培訓(xùn)，與員工一起開展安全意識(shí)培訓(xùn)、檢查和討論：

1.企業(yè)還沒有中勒索，但領(lǐng)導(dǎo)很害怕，該如何防范呢?有哪些建議和指導(dǎo)

2.企業(yè)已經(jīng)中了勒索，該如何快速進(jìn)行應(yīng)急響應(yīng)?有哪些建議和指導(dǎo)

企業(yè)應(yīng)該如何做好安全防護(hù)，主要從以下幾個(gè)方面入手：

1. 設(shè)置高強(qiáng)度的密碼，而且要不定期進(jìn)行密碼的更新，避免使用統(tǒng)一的密碼，統(tǒng)一的密碼會(huì)導(dǎo)致企業(yè)多臺(tái)電腦被感染的風(fēng)險(xiǎn)，此前我就遇到過一個(gè)企業(yè)內(nèi)網(wǎng)的密碼都使用同一個(gè)的情況，導(dǎo)致企業(yè)內(nèi)部多臺(tái)電腦被勒索加密

2. 企業(yè)內(nèi)部應(yīng)用程序的管控與設(shè)置，所有的軟件都由IT部門統(tǒng)一從正規(guī)的網(wǎng)站進(jìn)行下載，進(jìn)行安全檢測(cè)之后，然后再分發(fā)給企業(yè)內(nèi)部員工，禁止員工自己從非正規(guī)的網(wǎng)站下載安裝軟件

3. 企業(yè)內(nèi)部使用的office等軟件，要進(jìn)行安全設(shè)置，禁止宏運(yùn)行，避免一些惡意軟件通過宏病毒的方式感染主機(jī)

4. 從來歷不明的網(wǎng)站下載的一些文檔，要經(jīng)過安全檢測(cè)才能打開使用，切不可直接雙擊運(yùn)行

5. 謹(jǐn)慎打開來歷不明的郵件，防止被郵件釣魚攻擊和垃圾郵件攻擊，不要隨便點(diǎn)擊郵件中的不明附件或快捷方式，網(wǎng)站鏈接等，防止網(wǎng)頁掛馬，利用漏洞攻擊等

6. 可以不定期進(jìn)行安全攻防演練，模擬攻擊等，讓員工了解黑客有哪些攻擊手法

7. 可以給員工進(jìn)行勒索病毒感染實(shí)例講解，用真實(shí)的勒索病毒樣本，進(jìn)行模擬感染攻擊，讓員工了解勒索病毒的危害

   五、養(yǎng)成良好的備份習(xí)慣，對(duì)重要的數(shù)據(jù)和文檔進(jìn)行定期非本地備份，可使用移動(dòng)存儲(chǔ)設(shè)置保存關(guān)鍵數(shù)據(jù)，同時(shí)要定期測(cè)試保存的備份數(shù)據(jù)是否完整可用

勒索病毒的特征一般都很明顯，會(huì)加密磁盤的文件，并在磁盤相應(yīng)的目錄生成勒索提示信息文檔或彈出相應(yīng)的勒索界面，如果你發(fā)現(xiàn)你的文檔和程序無法打開，磁盤中的文件被修改，桌面壁紙被替換，提示相應(yīng)的勒索信息，要求支付一定的贖金才能解密，說明你的電腦中了勒索病毒。

企業(yè)中了勒索，該如何應(yīng)急，主要從以下幾個(gè)方面入手：

1.隔離被感染的服務(wù)器主機(jī)

拔掉中毒主機(jī)網(wǎng)線，斷開主機(jī)與網(wǎng)絡(luò)的連接，關(guān)閉主機(jī)的無線網(wǎng)絡(luò)WIFI、藍(lán)牙連接等，并拔掉主機(jī)上的所有外部存儲(chǔ)設(shè)備

2.確定被感染的范圍

查看主機(jī)中的所有文件夾、網(wǎng)絡(luò)共享文件目錄、外置硬盤、USB驅(qū)動(dòng)器，以及主機(jī)上云存儲(chǔ)中的文件等，是否已經(jīng)全部加密了

3.確定是被哪個(gè)勒索病毒家族感染的，在主機(jī)上進(jìn)行溯源分析，查看日志信息等

主機(jī)被勒索病毒加密之后，會(huì)在主機(jī)上留上一些勒索提示信息，我們可以先去加密后的磁盤目錄找到勒索提示信息，有些勒索提示信息上就有這款勒索病毒的標(biāo)識(shí)，顯示是哪一種勒索病毒，比方GandCrab的勒索提示信息，最開始都標(biāo)明了是哪一個(gè)版本的GandCrab勒索病毒版本，可以先找勒索提示信息，再進(jìn)行溯源分析

溯源分析一般通過查看主機(jī)上保留的日志信息，以及主機(jī)上保留的樣本信息，通過日志可以判斷此勒索病毒可能是通過哪種方式進(jìn)來的，比方發(fā)現(xiàn)文件被加密前某個(gè)時(shí)間段有大量的RDP爆破日志，并成功通過遠(yuǎn)程登錄過主機(jī)，然后在主機(jī)的相應(yīng)目錄發(fā)現(xiàn)了病毒樣本，可能猜測(cè)這款勒索病毒可能是通過RDP進(jìn)來的，如果日志被刪除了，就只能去主機(jī)上找相關(guān)的病毒樣本或可疑文件，通過這些可疑的文件來猜測(cè)可能是通過哪種方式進(jìn)來的，比方有些是能過銀行類木馬下載傳播的，有些是通過遠(yuǎn)控程序下載傳播的，有些是通過網(wǎng)頁掛馬方式傳播的，還可以去主機(jī)的瀏覽器歷史記錄中去找相關(guān)的信息等等

4.找到病毒樣本，提取主機(jī)日志，進(jìn)行溯源分析之后，關(guān)閉相應(yīng)的端口、網(wǎng)絡(luò)共享、打上相應(yīng)的漏洞補(bǔ)丁，修改主機(jī)密碼，安裝高強(qiáng)度防火墻，防病毒軟件等措施，防止被二次感染勒索

5.進(jìn)行數(shù)據(jù)和業(yè)務(wù)的恢復(fù)，如果主機(jī)上的數(shù)據(jù)存在備份，則可以還原備份數(shù)據(jù)，恢復(fù)業(yè)務(wù)，如果主機(jī)上的數(shù)據(jù)沒有備份，可以在確定是哪種勒索病毒家族之后，查找相應(yīng)的解密工具，解密工具網(wǎng)站可以看我上一篇文章中提到的，事實(shí)上現(xiàn)在大部分流行勒索病毒并沒有解密工具，如果數(shù)據(jù)比較重要，業(yè)務(wù)又急需恢復(fù)，可以考慮使用下面方式嘗試恢復(fù)數(shù)據(jù)和業(yè)務(wù)：

1)可以通過一些磁盤數(shù)據(jù)恢復(fù)手段，恢復(fù)被刪除的文件

2)可以跟一些第三方解密中介或直接通過郵件的方式聯(lián)系黑客進(jìn)行協(xié)商解密(但不推薦），可能就是因?yàn)楝F(xiàn)在交錢解密的企業(yè)越來越多，導(dǎo)致勒索病毒家族變種越來越多，攻擊越來越頻繁，還有很多企業(yè)中了勒索病毒暗地里就交錢解密了

現(xiàn)在很多勒索病毒都使用郵件或解密網(wǎng)站，要求受害者通過這些網(wǎng)站進(jìn)行解密操作，而且都是使用BTC進(jìn)行交易，而且功能非常完善，下面我們就來分析一下最近很流行的Sodinokibi勒索病毒的解密網(wǎng)站，如下所示：