■ 江苏 朱贤斌

编者按： 近年来勒索病毒盛行，给个人和企业造成了无可挽回的损失，本文从实战出发，以实例进行勒索病毒的应急演练，并给出相关防护建议。

从20世界60年代开始，恶意软件就与信息技术的发展相生相伴。随着科技的不断进步，恶意软件本身也在不断演变，从蠕虫病毒、广告软件、流氓软件、木马软件，乃至今天的勒索软件，恶意软件制作者已从最初的技术炫耀变成了如今直接的利益所取。例如2017年的Wannacry勒索病毒，对受害企业重要数据造成严重损失。

网络黑客使用的系列勒索手段包括：频繁创建虚假网站，吸引潜在勒索对象游览；借助网站内钓鱼软件，扫描用户电脑操作系统及游览器所含安全漏洞；向用户电脑内输送勒索软件，继而锁死电脑或加密数据，要求用户支付“赎金”，以换取解除锁定的“密钥”。

演练目的

图1 演练网络拓扑图

为了让用户认识到勒索病毒的危害，所以很有必要还原勒索病毒入侵，以及发生勒索病毒安全事件后，迅速的应急响应和应急处置，通过应急演练，来提高我们的网络安全意识和技能。

演练环境

笔者此次使用VMware Workstation搭建两台虚拟机，模拟攻击者和被攻击者，攻击者使用Kali-Linux系统，被攻击者使用Windows 7系统。拓扑如图1所示。

勒索病毒攻击

1.攻击者首先使用Nmap端口扫描工具对被攻击者进行端口扫描和漏洞检测。经过扫描，此台虚机开启了445（SMB） 和 3389（RDP）端口，这些端口属于易被攻击的端口。

2.利用Nmap自带的漏洞检测脚本对445端口进行扫描,结果显示存在高危漏洞，漏洞编号MS17-010。

3.该漏洞极易被利用进行远程控制，使用远程桌面登录受控电脑，上传勒索病毒（详细过程省略）。

4.本次使用的勒索病毒为 GANDCRAB V5.0.4，运 行之后将文件加密，文件被添加.yqqhahnck后缀，无法正常打开，受控端桌面被替换成勒索信息，并留下索要赎金的.txt文件。

应急响应流程

根据相关技术标准，信息安全事件应急响应工作流程主要有预防预警、事件报告与先期处置、应急处置、应急结束和后期处置。应急响应工作流程如图2所示。

1. 事件报告与先期处置

勒索病毒事件发生后，相关部门做好先期处置的同时应立即组织研判，并做好信息通报工作。

2.应急处置

勒索病毒属于有害程序事件，该类事件的应急处置措施，一是及时将被感染的设备与其他设备进行隔离；二是采取有效措施对有害程序清除。通常采取的措施如下：

（1）当发现信息系统感染有害程序时，工作人员应立即对感染的设备或程序进行确认并上报部门领导。情况紧急的，应先采取隔离、清除、暂停等处理措施，再进行事件报告。

（2）在确认受感染的设备后，应立即将该设备与其他设备进行隔离，并对其进行数据备份，同时启动备用设备保持应用的连续性。

（3）启用反有害程序系统对设备进行查杀处理，同时对其他设备进行有害程序扫描和清除。清除工作完成后，对各类设备进行安全加固，避免有害程序的再次感染。

图2 应急响应工作流程图

图3 显示被添加了恶意账户hacker

（4）如发现反有害程序软件无法清除的，应立即向本级信息安全主管部门报告，情况严重的，应根据信息安全事件级别及时向上级主管部门汇报。

（5）在确认病毒、蠕虫等有害程序被彻底根除之后，可恢复系统运行。如果已启用备用设备的，应切换回原设备。

（6）如果受感染设备是主服务器并被多家单位和用户访问过，在报上级主管部门批准后，信息系统主管部门应履行通告义务，告知各相关单位开展有害程序扫描和清查工作。

根据以上工作流程，本次演练作如下应急处置：

首先将受控端断开网络连接，并逐一登录同网段其他服务器，确认是否感染勒索病毒，并紧急启动备份服务器，将数据恢复至最近备份状态。

然后对受控端进行排查：

对受控端进行全盘病毒扫描，发现存在恶意程序；

检查系统帐号，发现被添加了恶意账户hacker，如图3所示；

查看受控端的日志，发现攻击者登录记录，如图4所示；

检查受控端的进程，存在勒索病毒恶意进程HQnew.exe，如图5所示；

检查受控端是否存在高危漏洞、账户弱口令等安全风险，发现存在Windows远程命令执行漏洞，漏洞编号为MS17-010；

对勒索病毒进行分析，确认勒索病毒类型为GandCrab5.0.2版本，该病毒目前无法解密，如图6所示。

再对受控端进行安全加固：

使用杀毒软件清除服务器上残留的病毒程序；

关 闭 445、135、137、138、139 等不必要的端口，关闭网络共享，关闭Workstation等服务；

修改管理员密码为高强度的复杂密码，重命名系统管理员帐户；

安装操作系统补丁MS17-010；

使用漏扫工具和基线核查工具对受控端进行安全扫描，根据报告，进一步做安全加固，确保没有高、中、低危漏洞和安全配置缺陷。

3.应急结束和后期处置

当信息安全事件得到妥善处置后，可按照程序结束应急响应。对此次勒索病毒事件进行总结，从管理角度和技术角度来预防勒索病毒事件的发生。

图4 在受控端日志中发现攻击者登录记录

图5 发现存在勒索病毒恶意进程HQnew.exe

图6 显示该病毒目前无法解密

应及时对系统进行安全扫描，并及时更新操作系统补丁；严格管理第三方软件的使用，并保证及时更新；加强对系统的监控、审计与管理；定期对上传的Web网页文件进行比对，包括文件的创建、更新时间、文件大小等；定期维护升级网站服务器，检查服务器所存在的漏洞和安全隐患；使用U盘等移动存储设备进行数据交换前要先进行病毒检查，同时禁用U盘的自动播放功能；定期做好系统和重要数据的备份。

建议

在平时使用计算机过程中，怎样有效的免遭勒索病毒的攻击，给出以下建议：

1.养成良好的习惯

计算机必须安装杀毒和安全防护软件，安全软件提示的各类风险行为不要轻易放行；定期更新病毒库，及时更新系统补丁和第三方应用软件；使用高强度的复杂密码，包括英文字母、数字、特殊字符的组合，定期更换密码，不同账户使用不同的密码；重要文件及时备份，定期做全备，适时做增备。

2.减少危险的上网操作

不要游览不良信息网站，这些网站经常会挂马或钓鱼；不要轻易打开陌生人发来的电子邮件，或访问不明的网络链接；不要轻易打开后缀名为 js、vbs、wsf、bat等脚本文件和exe、scr等可执行程序，在网络上接收的文件，先杀毒再打开。