为帮助更多的组织单位有效应对勒索病毒威胁|避免成为下一个受害者：勒索病毒急救响应篇为帮助更多的组织单位有效应

为帮助更多的组织单位有效应对勒索病毒威胁，信服君本期将分享勒索病毒急救措施，帮助组织单位进行快速应急响应。
判断是否感染勒索病毒
由于勒索病毒主要目的是勒索，攻击者在目标主机完成数据加密后，一般会提示受害者支付赎金。因此，勒索病毒有明显区别于一般病毒的典型特征，可以通过以下特征来判断是否感染勒索病毒。
1.电脑桌面出现勒索信息文件
主机被感染勒索病毒后，最明显的特征是电脑桌面或者文件目录下通常会出现新的文本文件或网页文件，这些文件用来说明如何解密的信息，同时显示勒索提示信息及解密联系方式。为了更加明显的提示受害者勒索信息，部分家族甚至直接修改电脑桌面背景。
以下是部分流行勒索病毒的勒索信息：

文章图片

文章图片

文章图片
2.文件被篡改
主机被感染勒索病毒后，另一个明显的特征是主机上很多文件后缀名被篡改，导致文档、照片、视频等文件变成不可打开的形式。一般情况下，文件后缀名会被修改成勒索病毒家族的名称或者勒索病毒家族的代表标志，比如Phobos常用的加密后缀有：.dewar、.devil、.Devos、.eight、.eking等；Hospit在针对医疗行业进行攻击时，使用的加密后缀为.guanhospit ，针对制造业发动攻击，使用的加密后缀为.builder；GlobeImposter的相关后缀就超过两百五十种， “十二生肖”系列、“十二主神”系列、“C*H”系列变种都曾在国内引起轩然大波。
3.业务访问异常
主机被感染病毒后，由于业务系统文件被篡改，或者病毒在主机上调用系统程序异常，都可能导致主机业务系统访问异常，甚至业务瘫痪的现象。比如早期部分Wannacry变种永恒漏洞利用失败导致srv.sys驱动异常出现主机蓝屏现象。
勒索病毒急救响应措施
基础急救措施
针对小型单位或者没有能力进行病毒溯源的组织，在勒索病毒响应方面，最先考虑的考虑是尽快切断病毒在内网的传播感染。
1.断网隔离
第一时间将所有感染主机进行网络隔离，可采用深信服的一键全局隔离方案，或采取拔网线的物理方式，这样是防止勒索病毒在内网进一步传播感染，避免组织造成二次损失最直接的方式。至于其它未中招的主机，建议根据灾情实际情况，选择是否隔离网络。理论上来讲，如果灾情严重，建议所有主机都隔离网络，待应急结束，加固完成后，再放通网络。
2.端口隔离
进一步关闭135、139、443、445、3389等TCP端口，以及137、138等UDP端口，避免病毒利用端口进行传播。尤其RDP端口，如无业务需要，建议直接关闭，如有业务需要，也建议通过微隔离等手段进行策略访问控制及封堵。
3.病毒查杀
确保病毒不会在内网横向扩散后，借用病毒查杀工具进行病毒全盘扫描，找到病毒文件进行隔离查杀处置。如主机核心系统文件被加密，则进行系统重装。
4.加固防范
为避免下一次感染，对网络进行加固升级防护措施。包括：
及时对操作系统、设备、以及软件进行打补丁和更新；
确保安全设备及安全软件等升级到最新版本，包括网络上的反病毒、入侵防护系统、以及反恶意软件工具等；
做好网络安全隔离，将网络隔离到安全区，确保某个区域的感染不会轻易扩散到其他区域；