勒索软件防范应对指南（69页）.pdf

1、1勒索软件防范应对指南一、编写目的一、编写目的为防范和应对勒索软件攻击事件，保护关键信息基础设施的网络和信息系统安全，指导相关单位科学开展事前防范、事中处置和事后恢复，特制定本指南。二、感染勒索软件应急响应操作流程二、感染勒索软件应急响应操作流程勒索软件应急响应要点包括：（1）要及时发现感染情况，早发现，早处置；（2）要做好网络隔离，阻止勒索软件横移带来的进一步危害；（3）要保留现场，为攻击溯源和数据恢复提供重要的线索；（4）要全面收集信息，包括勒索信、加密文件、勒索样本、日志文件，为勒索软件判定、攻击事件分析提供数据基础；（5）要分析入侵手段，确定攻击路径，发现系统防护漏洞；（6）要全面排查

2、感染范围，发现潜在安全风险；（7）要彻底清除勒索软件等恶意程序，防止二次危害；（8）要全面加固系统，及时修改密码，修复漏洞，防止被再次攻击；（9）要利用多种手段恢复数据，降低损失；（10）要及时上报网络安全主管部门，做到早发现、早报告。勒索软件应急响应流程主要环节如下图所示：2（一）确认感染勒索软件（一）确认感染勒索软件勒索软件的主要目的是勒索钱财，完成文件和数据加密后，会提示受害者的文件已经被加密无法打开，需要支付赎金才能恢复文件。勒索软件具有明显区别于一般病毒的典型特征，如果服3务器或主机等信息设备出现了以下三个特征，则说明服务器或主机很可能已感染勒索软件，如果处置不当，损失可能会进一步扩

3、大。1 1、业务系统无法访问、业务系统无法访问勒索软件会对企业的信息设备和信息系统进行攻击，感染企业的关键信息系统，破坏企业的正常运营，甚至还延伸至生产线，一旦遭到勒索攻击，极可能导致生产线停产。例如：2018 年 2 月，某三甲医院遭勒索软件攻击，全院所有医疗系统均无法正常使用，正常就医秩序受到严重影响；同年8 月，台积电在台湾北、中、南三处重要生产基地遭勒索软件攻击，导致生产停摆。但是，当业务系统出现无法访问、生产线停产等现象时，并不能 100%确定是设备感染了勒索软件，也有可能是遭到DDoS 攻击或是中了其他病毒等原因所致，因此，还需要结合其它特征来判断。2 2、电脑桌面被篡改、电脑桌面

4、被篡改服务器或主机感染勒索软件后，桌面上通常会显示勒索提示信息及解密联系方式，通常提示信息英文较多，中文较少，同时，电脑桌面通常会出现新的文本文件或网页文件，用来说明如何解密。下图为电脑感染勒索软件后，几种典型的桌面变化：4图 1 感染勒索软件桌面示例图3、文件后缀被篡改服务器或主机感染勒索软件后，办公文档、照片、视频等文件的图标通常会变为不可打开形式，或者文件后缀名被篡改。一般来说，文件后缀名会被改成勒索软件家族的名称或其家族代表标志，如：GlobeImposter 家族的后缀为.dream、.TRUE、.CHAK等；Satan 家族的后缀为.satan 等；Crysis 家族的后缀为.AR

5、ROW、.arena 等。下面为感染勒索软件后，几种典型的文件后缀名被篡改或文件图标变为不可打开的示意图:5图 2 感染勒索软件文件后缀被篡改示例图（二）隔离感染勒索软件设备，保留现场（二）隔离感染勒索软件设备，保留现场通过上述步骤确认感染勒索软件的设备或系统后，第一时间进行隔离，一是切断攻击者对受控设备的远程控制，二是防止勒索软件在网络内横向移动，造成更大的危害。1 1、网络隔离、网络隔离根据感染勒索软件的设备或系统的数量以及重要性，可采取不同的网络隔离措施：（1）隔离整个网络如果多台设备感染了勒索软件，应尽量在交换机级别下线整个网络，例如关闭网络交换机电源，达到同时断开网络内所有设备间通信

6、通道的目的，防止在应急响应过程中勒索软件横移到同网络内其它设备系统中，造成更大的危害，直到应急响应结束并6完成安全加固后再恢复网络。（2）隔离涉事设备如果因业务要求无法完成交换机级别的网络下线，则应立即将所有感染设备断网隔离，可采取拔网线方式断网，同时关闭设备的 WiFi、蓝牙，断开设备连接的无线网络，禁用网卡（包括无线网卡）并拔掉设备全部外部存储设备，防止勒索软件横移攻击其它设备系统，造成更大的危害。（3）隔离其它未感染设备对于网络内其它未感染的设备，建议根据实际情况，选择是否隔离。理论上来讲，建议所有设备都应进行网络隔离，待应急响应结束，加固完成后，再接入网络。如果确实因业务需要无法断网，