勒索病毒应急响应自救手册2.0.pdf

1 勒索 病毒应急响应 自救 手册 2.0 2 编写 说明 勒索病毒，是伴随 数字货币兴起的 一种新型病毒木马，通常以垃圾 邮件、服 务器 入侵 、网页挂马、捆绑软件等多种形式 进行传播。机器一旦遭受 勒索病毒 攻 击 ， 将会 使绝大多数文件被加密算法修改 ，并 添加一个特殊的后缀 ，且用户无法 读取原本 正常的文件 ，对用户造成无法估量的损失。勒索病毒通常利用非对称加 密算法和对称 加密算法组合 的 形式来 加密文件，绝大 多数勒索软件均 无法通过 技 术手段 解密，必须拿到对应 的 解密私钥才有可能无损 还原被加密文件 。黑客正是 通过这样的行为向受害用户勒索高昂的赎金，这些赎金必须通过数字货币支付， 一般无法溯源，因此危害巨大。 自 2017 年 5 月 WannaCry（永恒之蓝勒索蠕虫）大规模爆发以来，勒索病毒 已成为对政企机构和网民直接威胁最大的一类木马病毒。 近期爆发的 Globelmposter、 GandCrab、 Crysis 等 勒索病毒，攻击者更是将攻击的矛头对准企 业服务器， 并形成产业化 ；而且勒索病毒的质量和数量的不断攀升， 已经 成为 政 企机构面临的最大的网络威胁 之一。 为 帮助更多的政企机构 ，在遭遇网络安全事件时，能够正确 处置突发的 勒索 病毒，及时采取必要的自救措施，阻止损失扩大，为等待专业救援争取时间。奇 安信集团安服团队结合 1000 余次客户现场救援的实践经验，整理了勒索病毒 应急响应自救手册，希望能对广大政企客户有所帮助。 3 目 录 第一章 常见勒索病毒种类介绍 . 5 一、 WANNACRY勒索 . 5 二、 GLOBEIMPOSTER 勒索 . 6 三、 CRYSIS/DHARMA 勒索 . 6 四、 GANDCRAB勒索 . 7 五、 SATAN勒索 . 8 六、 SACRAB 勒索 . 9 七、 MATRIX 勒索 . 10 八、 STOP 勒索 . 11 九、 PARADISE 勒索 . 11 第二章 如何判断病情 . 14 一、 业务系统无法访问 . 14 二、 电脑桌面被篡改 . 14 三、 文件后缀被篡改 . 15 第三章 如何进行自救 . 17 一、 正确处置方法 . 17 二、 错误处置方法 . 18 第四章 如何恢复系统 . 20 一、 历史备份还原 . 20 二、 解密工具恢复 . 20 三、 专业人员代付 . 20 四、 重装系统 . 21 第五章 如何加强防护 . 22 一、 终端用户安全建议 . 22 4 二、 政企用户安全建议 . 22 附录 1：勒索病毒已知被利用漏洞合集 . 24 附录 2：奇安信安全服务团队 . 25 附录 3：奇安信虚拟化安全管理系统 . 26 附录 4：奇安信天擎敲诈先赔服务 . 27 附录 5：奇安信安全监测与响应中心 . 28 5 第一章 常见勒索病毒种类介绍 自 2017 年“永恒之蓝”勒索事件之后，勒索病毒愈演愈烈，不同类型的变 种勒索病毒层出不穷。 勒索病毒传播素以传播方式快，目标性强著称，传播方式多见于利用“永恒 之蓝”漏洞、爆破、钓鱼邮件等方式传播。同时勒索病毒文件一旦被用户点击打 开，进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。所 以，加强对常见勒索病毒认知至关重要。如果在日常工作中，发现存在以下特征 的文件，需务必谨慎。由于勒索 病毒种类多至上百种 ，因此 特 整理了近期流行的 勒索病毒 种类 、特征及常见传播方式，供大家参考了解： 一、 WannaCry 勒索 2017 年 5 月 12 日， WannaCry 勒索病毒全球大爆发，至少 150 个国家、 30 万名用户中招，造成损失达 80 亿美元。 WannaCry蠕虫通过 MS17-010 漏洞在全 球范围大爆发，感染了大量的计算机，该蠕虫感染计算机后会向计算机中植入敲 诈者病毒，导致电脑大量文件被加密。受害者电脑被黑客锁定后，病毒会提示需 要支付相应赎金方可解密。 常见后缀： wncry 传播方式：永恒之蓝漏洞 特征： 启动时会连接一个不存在 url 创建系统服务 mssecsvc2.0 释放路径为 Windows 目录 6 二、 GlobeImposter 勒索 2017 年出现， 2018 年 8 月 21 日起，多地发生 GlobeImposter 勒索病毒事件， 攻击目标主要是开始远程桌面服务的服务器，攻击者通过暴力破解服务器密码， 对内网服务器发起扫描并人工投放勒索病毒，导致文件被加密多个版本更新，并 常通过爆破 RDP 后手工投毒传播，暂无法解密。 常见后缀： auchentoshan、 动物名 +4444 传播方式： RDP 爆破 垃圾邮件 捆绑软件 特征：释放在 %appdata%或 %localappdata% 三、 Crysis/Dharma 勒索 最早出现在 2016 年，在 2017 年 5 月万能密钥被公布之后，消失了一段时 间，但在 2017 年 6 月后开始继续更新。攻击方法同样是通过远程 RDP 爆力破解 的方式，植入到用户的服务器进行攻击，其加密后的文件的后缀名为 .java，由于 CrySiS 采用 AES+RSA 的加密方式，最新版本无法解密。 常见后缀：【 id】 +勒索邮箱 +特定后缀 传播方式： RDP 爆破 特征：勒索信位置在 startup 目录 样本位置在 %windir%System32 Startup 目录 %appdata%目录 7 四、 GandCrab 勒索 2018 年年初面世，作者长时间多个大版本更新，仅仅半年的时候，就连续出 现了 V1.0,V2.0,V2.1,V3.0,V4.0 等变种，病毒采用 Salsa20 和 RSA-2048 算法对文 件进行加密，并修改文件后缀为 .GDCB、 .GRAB、 .KRAB 或 5-10 位随机字母， 并将感染主机桌面背景替换为勒索信息图片。 GandCrab5.1 之前版本可解密，最 新 GandCrab5.2 无法解密。 常见后缀：随机生成 传播方式： RDP 爆破 钓鱼邮件 捆绑软件 僵尸网络 漏洞传播 特征：样本执行完毕后自删除 修改操作系统桌面背景 后缀 -MANUAL.txt 后缀 -DECRYPT.txt 8 五、 Satan 勒索 撒旦（ Satan）勒索病毒首次出现 2017 年 1 月份。该勒索进行 Windows&Linux 双平台攻击，最新版本攻击成功后，会加密文件并修改文件后缀为“ evopro”。除 了通过 RDP 爆破外，一般还通过多个漏洞传播。 常见后缀： evopro sick 传播方式：永恒之蓝漏洞 RDP 爆破 JBOSS 系列漏洞 Tomcat 系列漏洞 Weblogic 组件漏洞 特征：最新变种 evopro 暂时无法解密，老的变种可解密 9 六、 Sacrab 勒索 Scarab（圣甲虫）恶意软件于 2017 年 6 月首次发现。此后，有多个版本的变 种陆续产生并被发现。最流行的一个版本是通过 Necurs 僵尸网络进行分发，使 用 Visual C 语言编写而成，又见于垃圾邮件和 RDP 爆破等方式。在针对多个变 种进行脱壳之后，我们发现有一个 2017 年 12 月首次发现的变种 Scarabey，其分 发方式与其他变种不同，并且它的有效载荷代码也并不相同。 常见后缀： .krab .Sacrab .bomber .Crash 传播方式： Necurs 僵尸网络 RDP 爆破 垃圾邮件 特征：样本释放 %appdata%Roaming 10 七、 Matrix 勒索 目前为止变种较多的一种勒索，该勒索病毒主要通过入侵远程桌面进行感染 安装，黑客通过暴力枚举直接连入公网的远程桌面服务从而入侵服务器，获取权 限后便会上传该勒索病毒进行感染，勒索病毒启动后会显示感染进度等信息，在 过滤部分系统可执行文件类型和系统关键目录后，对其余文件进行加密，加密后 的文件会被修改后缀名为其 邮箱 。 常见后缀： .GRHAN .PRCP .SPCT .PEDANT 传播方式： RDP 爆破 11 八、 STOP 勒索 同 Matrix 勒索类似， Stop 勒索病毒也是一个多变种的勒索木马，一般通过 垃圾邮件、捆绑软件和 RDP 爆破进行传播，在某些特殊变种还会释放远控木马。 常见后缀： .TRO .djvu .puma .pumas .pumax .djvuq 特征：样本释放在 %appdata%local 可能会执行计划任务 九、 Paradise 勒索 Paradise 勒索 最早 出现在 2018 年 7 月下旬 ，最 初 版本会附加一个 超长 后缀 如： （ _V.0.0.0.1yourencrypterprotonmail.ch.dp）到原文件名末尾， 在每个包含 加密文件的文件夹都会生成一个 勒索信 如下： 12 而 后续活跃及变种版本，采用 了 Crysis/Dharma 勒索 信样式图 弹窗 如： 勒索 信如下样式 13 加密 文件后缀： 文件 名 _%ID 字符串 %_勒索邮箱 .特定 后缀 特征 ： 将 勒索弹窗和自身 释放 到 Startup 启动目录 14 第二章 如何 判断 病情 如何 判断 服务器 中 了 勒索病毒呢 ？勒索 病毒区别 于 其他病毒的明显特征 ：加 密受害者主机的文档和数据，然后 对受害者 实施 勒索， 从中非法 谋取 私利。勒索 病毒的收益极高， 所以 大家 才称之为 “勒索病毒” 。 勒索病毒的 主要 目的既然 是为了勒索， 那么黑客 在 植入 病毒完成加密后 ，必 然会提示 受害者 您的 文件 已经 被加密了 无法再打开 ，需要支付赎金才能 恢复 文件 。 所以，勒索病毒有 明显区别于一般病毒 的典型特征。 如果服务器出 现 了 以下 特征， 即表明已经 中了 勒索病毒。 一、 业务 系统无法访问 2018 年 以来， 勒索病毒 的 攻击不再 局限于 加密 核心 业务 文件 ；转而对 企业 的服务器 和 业务系统进行攻击 ，感染 企业的关键 系统 ， 破坏 企业的日常运营 ；甚 至还延伸至 生产线 生产线不可避免地存在一些遗留系统和各种硬件难以升 级打补丁等原因，一旦 遭到勒索 攻击 的直接后果就是生产线停产。 比如： 2018 年 2 月， 某三甲医院遭遇 勒索病毒，全院所有的医疗系统均无 法正常使用 ， 正常就医秩序受到严重影响 ；同年 8 月，台积电在台湾北、中、南 三处重要生产基地，均因勒索 病 毒入侵导致生产停摆。 但是 ， 当业务 系统出现无法访问、生产 线停产等现象时，并不能 100%确定 是服务器感染了勒索病毒，也有可能是 遭到 DDoS 攻击或是中了其他病毒等原因 所致，所以 ， 还需要 结合以下特征来判断。 二、 电脑桌面 被篡改 服务器 被感染 勒索病毒后， 最明显 的特征是 电脑 桌面发生 明显 变化 ， 即：桌 面通常会出现 新的文本文件或网页文件，这些文件用来 说明如何解密 的 信息 ，同 时桌面上显示 勒索 提示信息及解密联系方式，通常提示 信息英文较多，中文提示 信息 较少 。 下面 为 电脑感染 勒索 病毒 后， 几种典型 的桌面发生变化的示意图。 15 三、 文件后缀被篡改 服务器 感染 勒索 病毒 后，另外一个 典型特征 是 ：办公文档、 照片、视频等文 件 的图标 变为不可打开形式， 或者 文件后缀名 被 篡改 。一般来说 ，文件后缀名 会 被 改成勒索 病毒 家族 的名称 或其 家族 代表标志 ， 如： GlobeImposter 家族的后缀 为 .dream、 .TRUE、 .CHAK 等； Satan 家族 的 后缀 .satan、 sicck； Crysis 家族 的后 缀 有 .ARROW、 .arena 等 。 下面 为电脑 感染 勒索 病毒 后， 几种典型 的 文件后缀 名被篡改或文件图标变为 不可 打开的示意图。 16 当我们看到 上述 三个 现象的时候， 说明服务器 已经遭到勒索 病毒 的攻击 ，此 时 ， 如果我们 仓促的进行不正确的处置， 反而 可能会进一步扩大自己的损失 。 所以 ， 请保持 冷静 不要 惊慌失措， 现在 我们需要做的是如何 最大化 的减少损 失，并 阻止黑客 继续去攻击其他 服务器 。具体 操作 步骤请见下 一章 。 17 第三章 如何进行 自救 当我们 已经确认感染勒索病毒后， 应当及时 采取必要的自救措施 。之所以要 进行自救 ，主要 是 因为：等待专业人员的救助往往 需要一定的时间 ，采取 必要的 自救措施 ，可以 减少 等待 过程中 ，损失的进一步扩大。例如 ：与被感染 主机相连 的其他 服务器 也存在漏洞或是 有 缺陷，将有可能 也被 感染 。所以 ，采取自救措施 的目的是 为了及时 止损，将损失降到最低。 一、 正确处置 方法 (一 ) 隔离 中招主机 处置 方法 当 确认服务器已经被感染勒索病毒后， 应 立即隔离被感染 主机，隔离 主要包 括物理隔离和 访问 控制两种手段，物理隔离主要 为 断网 或 断电 ； 访问控制 主要 是 指 对访问网络资源的权限进行严格的认证和控制。 1） 物理隔离 物理隔离常用 的操作方法 是断网和 关机。 断网主要操作 步骤包括： 拔掉 网线、 禁用网卡，如果 是 笔记本 电脑 还需关闭 无线 网络 。 2） 访问控制 访问控制常用 的操作方法 是加策略和修改登录密码 。 加策略主要操作步骤为 ： 在网络侧使用 安全设备 进行 进一步 隔离 ， 如 防火墙 或 终端 安全监测系统 ；避免将远程桌面服务（ RDP， 默认端口为 3389）暴露在公 网上（如为了远程运维方便确有必要开启，则可通过 VPN 登录后才能访问），并 关闭 445、 139、 135 等 不必要的 端口。 修改 登录 密码 的主要操作为： 立刻 修改被感染服务器的登录 密码 ；其次，修 改同一局域网 下 的其他服务器密码 ； 第三，修改 最高级 系统管理员 账号的 登录密 码 。修改的 密码应为高强度 的复杂 密码 ， 一般 要求 ： 采用大小写字母、数字、特 殊符号混合的组合结构，口令位数足够长（ 15 位、两种组合以上）。 处置原理 隔离的 目的 ， 一方面 是为了防止感染主机自动通过 连接的网络继续 感染 其他 服务器； 另一方 面 是为了 防止黑客 通过 感染主机继续操控其他服务器 。 有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播， 如 WannaCry 勒索病毒， 一旦有一台主机感染，会 迅速感染与其在同一网络的 其他 电脑， 且每台 电脑的感染时间约为 1-2 分钟 左右 。所以 ， 如果 不及时进行隔离， 18 可能会导致 整个 局域网主机 的瘫痪 。 另外 ，近期 也 发现 有 黑客 会以 暴露在公网上的主机为跳板 ， 再顺藤摸瓜找到 核心业务服务器进行 勒索病毒攻击 ，造成更大规模的破坏。 当 确认服务器已经被感染勒索病毒后， 应 立即 隔离被感染 主机 ， 防止病毒 继 续 感染其他服务器 ， 造成 无法估计的损失 。 (二 ) 排查业务 系统 处置 方法 在 已经隔 离 被感染主机后，应 对局域网内 的其他 机器 进行排查， 检查 核心业 务系统 是否 受到影响 ， 生产线是否受到影响 ， 并检查备份 系统是否 被加密 等 ，以 确定感染的范围 。 处置原理 业务系统 的受影响 程度 直接关系着 事件 的风险等级 。评估风险 ，及时采取对 应的处置措施 ， 避免更大的 危害 。 另外 ，备份系统 如果是 安全 的 ，就可以避免支付赎金， 顺利的 恢复文件。 所以，当 确认服务器已经被感染勒索病毒后， 并确认 已经 隔离 被 感染主机 的 情况下， 应 立即对核心业务系统 和 备份系统进行 排查。 (三 ) 联系 专业人员 在 应急 自救 处置后， 建议 第一时间联系专业的 技术人士或安全 从业者， 对事 件的感染时间、传播方式， 感染家族等 问题进行排查。 政企 机构中招 客户 可以联系 ：奇安信集团，全国 400 应急热线： 4008 136 360 转 2 转 4。 二、 错误 处置方法 (一 ) 使用移动 存储设备 错误操作 当 确认服务器已经被感染勒索病毒后， 在 中毒电脑上使用 U 盘、移动硬盘 等 移动存储 设备 。 错误原理 勒索病毒通常 会 对感染电脑 上的所有文件进行加密，所以当插上 U 盘或 移 动硬盘 时 ， 也会 立即 对其 存储的内容进行加密 ， 从而造成损失 扩大 。 从一般 性原 则来看，当电脑感染病毒时， 病毒也 可能通过 U 盘 等移动存储介质 进行 传播。 19 所以 ， 当 确认服务器已经被感染勒索病毒后， 切勿在 中毒电脑上使用 U 盘、 移动硬盘等设备 。 (二 ) 读写中招主机上的 磁盘文件 错误操作 当 确认服务器已经被感染勒索病毒后， 轻信网上的各种解密方法或工具，自 行操作。 反复读取磁盘上的文件后反而降低数据正确恢复的概率。 错误原理 很多 流行 勒索病毒 的 基本 加密 过程 为： 1） 首先，将保存在磁盘上的文件读取到内存中 ； 2） 其次，在内存中 对文件 进行加密； 3） 最后 ， 将 修改后的文件 重新 写到 磁盘 中，并将原始文件删除 。 也就是说 ， 很多 勒索 病毒在 生成加密文件的同时，会对原始文件采取删除操 作 。理论上 说，使用某些专用的数据恢复软件，还是有可能部分或全部恢复被 加 密文件的 。 而此时 ，如果用户对电脑磁盘进行反复的读写操作 ， 有可能破坏磁盘空间 上 的原始文件，最终导致 原本 还有希望恢复的 文件彻底 无法恢复。 20 第四章 如何 恢复 系统 感染勒索病毒后，对于政企 机构 来说，最重要的 就 是怎么恢复被加密的文件 了。一般来说 ，可以通过 历史 备份、解密工具或支付赎金来恢复 被感染 的系统。 但是 这三种操作都有一定的难度， 因此 ， 建议受害者不要自行 操作 。如果 您想恢 复 系统 ， 请联系 专业的技术人员 或 安全厂商 ，确保 赎金的支付和解密过程 正确 进 行 ，避免其他不必要的损失。 政企 机构中招 客户 可以联系 ：奇安信 集团，全国 400 应急热线： 4008 136 360 转 2 转 4。 一、 历史 备份 还原 如果事前已经对 文件 进行了备份，那么 我们将不会 再担忧和烦恼。 可以直接 从云 盘、 硬盘 或 其他灾备系统 中 ， 恢复 被加密的文件 。值得注意的是 ，在文件恢 复之前，应确保系统中的病毒已被 清除 ， 已经 对 磁盘 进行格式化或是重装系统， 以免 插上 移动硬盘的 瞬间，或是网盘下载文件 到本地后 ， 备份文件 也被加密。 事先进行 备份， 既是 最有效 也是成本 最低的恢复文件 的 方式。 二、 解密 工具 恢复 绝大多数勒索病毒 使用的加密 算法 都是国际 公认 的标准算法 ， 这种加密方式 的特点是，只要加密密钥足够长，普通电脑 可能 需要 数十万年才能够破解，破解 成本是 极 高的。通常情况， 如果 不 支付 赎金 是无法解密恢复 文件的。 但是 ， 对于以下 三种情况 ，可以通过 互联网上 的解密工具恢复感染文件。 1） 勒索病毒的 设计 编码 存在漏洞 或并未正确实现加密算法 2） 勒索病毒 的 制造者 主动 发布了密钥或主密钥。 3） 执法机构查获带有密钥的服务器，并进行了分享。 需要注意的是：使用解密工具之前，务必要备份加密的文件，防止解密不成 功导致无法恢复数据。 三、 专业 人员 代付 勒索病毒的 赎金一般为 比特币或 其他 数字 货币 ，数字货币 的购买和支付对一 般用户来说 具有一定 的 难度和风险。具体主要体现在： 1） 统计 显示， 95%以上 的勒索 病毒 攻击 者 来自 境外，由于语言不通 ，容易 在沟通 中 产生误解 ，影响 文件的解密。 2） 数字 货币 交付 需要在特定的 交易平台 下进行， 不熟悉数字 货币交易时 ， 21 容易人才两空。 所以 ，即使支付 赎金 可以 解密，也 不建议 自行支付赎金。请联系专业的安全 公司 或 数据恢复公司进行处理，以保证 数据能成功恢复 。 四、 重装系统 当文件无法解密 ，也觉得被加密的文件价值不大时，也 可以 采用 重装 系统的 方法 ， 恢复系统。 但是， 重装系统意味着文件再也无法被恢复。另外 ， 重装 系统 后需更新 系统补丁 ，并安装杀毒软件和更新杀毒软件的病毒库到最新版本，而且 对于 服务器 也 需要进行针对性的防黑加固 。 22 第五章 如何加强防护 一、 终端用户 安全建议 对于普通终端用户，我们给出以下建议，以帮助用户免遭勒索病毒的攻击： 养成良好 的安全 习惯 1） 电脑应当安装具有云防护和主动防御功能的安全软件，不随意退出安全 软件或关闭防护功能，对安全软件提示的各类风险行为不要轻易放行。 2） 使用 安全软件的第三方打补丁功能 对系统进行 漏洞管理， 第一 时间给操 作系统 和 IE、 Flash 等常用软件打好补丁，定期 更新病毒库， 以免病毒利用漏洞 自动入侵电脑。 3） 对系统用户密码及时进行更改，并使用 LastPass 等密码管理器对相关密 码进行加密存储，避免使用本地明文文本的方式进行存储。系统相关用户杜绝使 用弱口令，同时，应该使用高复杂强度的密码， 8 位以上尽量包含大小写字母、 数字、特殊符号等的混合密码，加强运维人员安全意识，禁止密码重用的情况出 现，并定期对密码进行更改。 4） 重要文档数据应经常做备份，一旦文件损坏或丢失，也可以 及时找回 。 减少危险 的上网操作 1） 不要 浏览来路不明 的 色情 、 赌博等 不良 信息网站 ， 这些网站 经常 被 用于 发动挂马 、 钓鱼攻击 。 2） 不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。 3） 不要轻易打开后缀名为 js、 vbs、 wsf、 bat 等 脚本文件和 exe、 scr 等 可执 行程序 ， 对于陌生人发来的压缩文件包， 更 应提高警惕 ， 应 先 扫毒后打开 。 4） 电脑连接 移动存储设备，如 U 盘、 移动硬盘 等 ，应首先 使用 安全软件 检 测 其安全性。 5） 对于安全性不确定的文件，可以选择在安全软件的沙箱功能中打开运行， 从而避免木马对实际系统的破坏。 采取及时的 补救措施 1） 安装 奇安信集团旗下的 “天擎”并 开启 “ 先赔 服务 ” ， 一旦电脑被勒索病 毒感染，可以通过 先赔 服务 申请 赎金 赔付 ， 以 尽可能的 减小自身经济损失。 二、 政企用户 安全建议 1） 如用户处存在虚拟化环境，建议用户安装虚拟化安全管理系统，进一步 提升防恶意软件、防暴力破解等安全防护能力。 23 2） 安装 天擎 等 终端 安全 软件 ，及时给 办公 终端打补丁修复漏洞，包括操作 系统以及第三方应用的补丁。 3） 针对政企用户的业务服务器，除了安装杀毒软件还需要部署安全加固软 件，阻断黑客攻击。 4） 企业 用户应 采用足够复杂的登录密码登录 办公系统或服务器 ，并定期更 换密码，严格 避免多台服务器 共用同一个密码 。 5） 限制内网主机可进行访问的网络、主机范围。有效加强访问控制 ACL 策 略，细化策略粒度，按区域按业务严格限制各个网络区域以及服务器之间的访问， 采用白名单机制只允许开放特定的业务必要端口，其他端口一律禁止访问，仅管 理员 IP 可对管理端口进行访问，如 FTP、数据库服务、远程桌面等管理端口。 6） 对重要数据和核心文件及时进行备份，并且 备份系统与原系统隔离，分 别保存 。 7） 部署 天眼等安全设备， 增加全流量威胁检测手段，实时监测威胁、事件。 8） 如果 没有使用的必要， 尽量关闭 3389、 445、 139、 135 等不用的高危端 口，建议内网部署堡垒机类似的设备，并只允许堡垒机 IP 访问服务器的远程管 理端口（ 445、 3389、 22）。 9） 提高安全运维人员职业素养，除工作电脑需要定期进行木马病毒查杀外， 如有远程家中办公电脑也需要定期进行病毒木马查杀。 10） 提升 新兴威胁对抗能力 通过对抗式演习，从安全的技术、管理和运营等多个维度出发，对企业的互 联网边界、防御体系及安全运营制度等多方面进行仿真检验，持续提升企业对抗 新兴威胁的能力。 24 附录 1：勒索病毒已知被利用漏洞合集 已知 被 利用漏洞 RDP 协议 弱口令爆破 Windows SMB 远程代码执行漏洞 MS17-010 Win32k 提权 漏洞 CVE-2018-8120 Windows ALPC 提权 漏洞 CVE-2018-8440 Windows 内核 信息泄露 CVE-2018-0896 Weblogic 反序列 化漏洞 CVE-2017-3248 WeblogicWLS 组件漏洞 CVE-2017-10271 Apache Struts2 远程代码执行漏洞 S2-057 Apache Struts2 远程代码执行漏洞 S2-045 Jboss 默认配置漏洞 (CVE-2010-0738) Jboss 反序列化漏洞 (CVE-2013-4810) JBOSS 反 序列化漏洞 (CVE-2017-12149) Tomcat web 管理后台弱口令爆破 Spring Data Commons 远程命令执行漏洞 (CVE-2018-1273) WINRAR 代码执行 漏洞 (CVE-2018-20250) Nexus Repository Manager 3 远程代码执行漏洞 (CVE-2019-7238) 25 附录 2： 奇安信安 全服务 团队 奇安信集团 旗下的 安服团队 专注于探索安全服务新方向，创新性地提出了新 一代安全服务体系及运营理念，以安全数据为基础，利用专业安全分析工具，通 过咨询规划、数据分析、预警检测、持续响应、安全运营等一系列服务，在云端 安全大数据的支撑下，为客户提供全周期的安全保障服务。 奇安信集团 旗下的 安服团队在数据分析、攻击溯源、应急响应、重保演习等 方面有丰富的实战经验，参与了多次国内外知名 APT 事件的分析溯源工作，参 与了 APEC、 G20、两会、一带一路、纪念抗战胜利 70 周年阅兵、十九大、上合 峰会等所有国家重大活动安全保障工作，屡获国家相关部门和客户的认可 及感谢 信。 政企 机构中招 客户 可以联系 ：奇安信 集团 ，全国 400 应急热线： 4008 136 360 转 2 转 4。 26 附录 3： 奇安信虚拟化安全管理系统 奇安信集团 旗下的 虚拟化安全管理系统是面向各行业用 户的 虚拟化、云、数 据中心环境，保护其服务器 、 虚拟机、云主机、容器等 IT 资源的安全产品，旨 在解决前述环境下的安全问题，全面兼容物理和虚拟化环境，为用户提供一套可 跨多种虚拟化平台、具备强大防护能力的虚拟化安全解决方案，保障业务系统的 稳定性和连续性。 奇安信集团 旗下的 虚拟化安全管理系统通过多引擎 病毒查杀（ 本地病毒库与 云查病毒库联动 ） 等手段能够有效查杀多种勒索病毒；对于近期 勒索病毒 常 利用 的远程桌面爆破、永恒之蓝漏洞等传播方式，可通过主机入侵防御、防暴力破解 等方式进行防范 ； 并通过主机防火墙阻断 其 在网内横向传播 ；真正做到攻击防御 -病毒查杀 -扩散控制的闭环一体化防护。 奇安信集团 旗下的 虚拟化安全系统协同安服团队已处理近百起勒索病毒引 起的应急事件，得到客户高度认可。 27 附录 4： 奇安信天擎敲诈先赔服务 2016 年 9 月 6 日，奇安信（原 360 企业安全集团）正式宣布，面向所有天擎 政企用户免费推出敲诈先赔服务：如果用户在开启 天擎敲诈先赔功能后，仍感染 勒索病毒，奇安信集团将负责赔付赎金，为政企用户提供百万先赔保障。 依托对勒索病毒的深入研究，奇安信集团在百亿级安全大数据分析的基础上， 依托于机器学习引擎和行为识别等方式，通过独有的漏洞入侵防御、远程桌面防 暴力破解、防恶意退出三种攻击防御技术，及独有的 FD 落地防御、勒索免疫、 AD 文档防护三重勒索防御技术，对勒索病毒进行全面的防御和拦截，已经帮 4000 万政企终端挡住了勒索病毒的一轮又一轮攻击 。 28 附录 5： 奇安信安全监测与响应中心 奇安信集团 旗下的 安全监测与响应中心，是奇安信集团为服务广大政企机构 而建立的网络安全服务平台，旨在第一时间为政企机构提供突发网络安全事件的 预警、通告，处置建议、技术分析和奇安信集团安全产品解决方案。突发网络安 全事件包括但不限于：安全漏洞、木马病毒、信息泄露、黑客活动、攻击组织等。 奇安信集团 旗下的 安全监测与响应中心兼具安全监测与响应能力：中心结合 奇安信集团安全大数据监测能力与海量威胁情报分析能力，能够全天候、全方位 的监测和捕获各类突发网络安全事件；同时，基于 10 余年来为全国数万家大型 政企机构提供安全服务和应急响应处置经验，中 心能够在第一时间为政企机构应 对突发网络安全事件提供有效的处置措施建议和应急响应方案。 在 2017 年 5 月发生的永恒之蓝勒索蠕虫（ WannaCry）攻击事件中，奇安信 集团 旗下的 安全监测与响应中心在 72 小时内，连续发布 9 份安全预警通告， 7 份 安全修复指南和 6 个专业技术工具，帮助和指导全国十万余家政企机构应对危 机。 联系方式 ：