廣告：

前 言

勒索病毒威脅已經(jīng)成為當前最受關注的網(wǎng)絡安全風險之一。而結合信息竊取和泄露的二 次勒索模式，使得勒索病毒的危害進一步加深。針對個人、企業(yè)、政府機關、各類機構的攻 擊層出不窮，在勒索病毒威脅面前，沒有人能夠置身事外。在勒索病毒處置中，如能及時正 確處置，可有效降低勒索病毒帶來的損失，避免病毒影響進一步擴散。360 反病毒部是國內 最早開始追蹤勒索病毒的團隊，提供的反勒索服務已累計為超萬例勒索病毒救援求助提供幫 助，我們將通過本文對勒索病毒的常規(guī)處置方法、解密方法、安全加固方案和其它一些常見 問題進行解答，希望以此為企事業(yè)單位和廣大網(wǎng)民提供幫助。

360 反病毒部是 360 政企安全集團的核心能力支持部門，由一批常年在網(wǎng)絡安全一線進 行對抗防御的專家組成，負責流行病毒木馬的監(jiān)測、防御、處置和新安全威脅研究。維護著 360 高級主動防御系統(tǒng)、360 反勒索服務等基礎安全服務，并為用戶提供了橫向滲透防護、 無文件攻擊防護、軟件劫持防護、挖礦木馬防護等多項防護功能，保護廣大網(wǎng)民上網(wǎng)安全

處置篇

發(fā)現(xiàn)被感染勒索病毒之后，第一時間的正確處置能有效降低勒索病毒帶來的損失，避免病毒影響進一步擴散，更快找到解決方案。對于企業(yè)而言，往往是多臺設備同時被勒索病毒攻擊，且同一內網(wǎng)之中可能還存在其它尚未被感染設備。針對這一情況，為了避免勒索病毒進一步擴散，我們提供以下處理流程方案供參考。

一、 阻斷勒索病毒進一步擴散

發(fā)現(xiàn)中毒機器，首先應先阻斷勒索病毒繼續(xù)加密文件和進一步擴散。有兩個可行方案，但無論采取哪個方案，都應在第一時間對中毒機器進行斷網(wǎng)處理(關閉網(wǎng)絡能阻止勒索病毒在內網(wǎng)橫向傳播以及攻擊者對當前設備的持續(xù)控制)。具體方案如下：

若發(fā)現(xiàn)設備中還有未被加密文件，應及時切斷網(wǎng)絡并關閉計算機。關閉計算機能及時阻止勒索病毒繼續(xù)加密文件，且避免再次直接開機。

若發(fā)現(xiàn)文件均已被加密，可切斷網(wǎng)絡之后，聯(lián)系專業(yè)技術人員，查看病毒程序是否還在運行。若還在運行，則可嘗試抓取內存dump，為后續(xù)解密提供幫助。

二、 了解攻擊具體情況

(一) 了解受影響情況

包括：

 哪些機器受到攻擊，影響情況如何，是否存在備份，備份是否可用。

 哪些機器未受到攻擊，是否可暫時隔離下線處理等。

 機器感染勒索病毒的開始時間。

 網(wǎng)絡拓撲情況，中招機器和未中招機器在網(wǎng)絡中的分布情況等。

 存儲有敏感信息的設備是否被異常訪問，是否存在數(shù)據(jù)泄露風險。

對企業(yè)信息資產(chǎn)的全面排查，是避免由于慌亂出現(xiàn)遺漏，為后續(xù)工作埋下隱患。此處需要結合企業(yè)自身設備情況進行靈活排查。

對于中招情況不明，已經(jīng)關閉下線的機器，如需排查損失情況，建議對磁盤或環(huán)境做備份后，在隔離網(wǎng)內開機或上線查看，以免有殘存的開機自啟動病毒再次啟動后加密文件。另外需要主要的是，管理員通過遠程登錄到被感染設備查看情況時，一定不要將本地磁盤映射過去。因為勒索病毒可能還在運行，映射過去會導致該磁盤文件被加密。

(二) 了解中招勒索病毒情況

可以通過以下方面來了解所感染勒索病毒情況：

1. 病毒留下的勒索信息

2. 被病毒加密的文件

3. 被加密后的桌面背景

4. 發(fā)現(xiàn)的可疑樣本

5. 彈窗信息

在準備完成上述文件之后，可以通過360勒索病毒搜索引擎查詢所中勒索病毒情況。更多操作可參見解密篇

注：勒索病毒的特征信息是經(jīng)常會改變的，緊靠一些文件名和彈窗信息無法絕對準確判斷勒索病毒種類，最終勒索病毒的認定還需要通過分析提取到的病毒樣本確定。

(三) 黑客攻擊方式排查

該信息一般需要專業(yè)人員進行排查，以下幾個渠道均可與360政企安全相關技術人員取得聯(lián)系：

 在360安全衛(wèi)士中申請反勒索服務。

 360論壇的勒索病毒板塊反饋。

 360勒索病毒搜索引擎查詢結果中提到的勒索病毒救援群。

若企業(yè)內部有專門的信息安全管理人員，也可嘗試自行排查。

以下是2020年受勒索病毒入侵方式占比情況，可供參考

遠程桌面

檢查 Windows 日志中的安全日志以及防火墻日志等

共享設置

檢查是否只有共享出去的文件被加密,具體可參考“Q2 勒索病毒是否會在內網(wǎng)中 橫向轉播？”中的共享自查。

激活/破解

檢查中招之前是否有下載未知激活工具或者破解軟件。

僵尸網(wǎng)絡

僵尸網(wǎng)絡傳播勒索病毒之前通常曾在受害感染設備部署過其它病毒木馬，可通過使 用殺毒軟件進行查殺進行判斷。

第三方賬戶

檢查是否有軟件廠商提供固定密碼的賬戶或安裝該軟件會新增賬戶。包括遠程桌面、 數(shù)據(jù)庫等涉及到口令的軟件。

軟件漏洞

根據(jù)系統(tǒng)環(huán)境，針對性進行排查，例如常見被攻擊環(huán)境 Java、通達 OA、致遠 OA 等。查 web 日志、排查域控與設備補丁情況等。

頁面掛馬

檢查中毒之前瀏覽器的歷史訪問記錄，是否存在可疑網(wǎng)站，特別是訪問時出現(xiàn)過頁 面跳轉網(wǎng)站。

釣魚郵件

檢查郵件記錄和中毒前一段時間的網(wǎng)址訪問記錄，檢查是否點擊過可疑鏈接或下載、 運行過附件中的程序、腳本等。并注意：熟人郵件或常用網(wǎng)址并不絕對安全，也許排查。

U 盤蠕蟲

U 盤蠕蟲下發(fā)勒索病毒之前通常也是長期駐扎在系統(tǒng)中，也會殘留一些病毒木馬在 系統(tǒng)中，可通過殺毒軟件查殺識別。

數(shù)據(jù)庫弱口令

檢查 sql 日志，Windows 日志中的應用程序日志。

主動運行

檢查打開程序與文件記錄。

NAS 弱口令

檢查 NAS 日志。

VNC 弱口令

檢查服務器 VNC 配置

排查公司流量情況，以上排查都應該格外關注非工作時段和海外 ip 的訪問情況

勒索病毒投遞階段的攻擊者，往往是采用多種技術手段相結合進行病毒投遞的，需要對 中招環(huán)境的各種可能攻擊途徑都進行排查。由于近年來，竊取數(shù)據(jù)進行勒索的案例大量增加， 對于企業(yè)數(shù)據(jù)是否失竊或者泄密也應進行排查。

三、及時處理未感染設備，避免再次遭遇攻擊

a) 口令更換，因無法確定黑客掌握了內部多少機器的口令，同一內網(wǎng)下設備口令均應更換。包括但不 限于涉及遠程桌面、mysql、mssql 和 Tomcat 等任何涉及網(wǎng)絡登錄的口令。

b) 根據(jù)排查發(fā)現(xiàn)的攻擊方式與隱患，及時修補漏洞，短時間內無法修補的，堅決不能再次 上線。

c) 在未完成全部檢查前，有機器需要上線的，應關閉文件共享，如果無法關閉的，應該限 制訪問權限，內網(wǎng)中可能還有尚未找到的被感染機器，有文件共享的話，共享文件可能 會被加密。

四、 中毒設備處理

中招設備如果要再次投入使用的，應該對安全問題進行一一排查，可參見：安全加固篇 ->定期排查項。

在未查清中招原因的情況下，不建議進行如下操作：

格式化磁盤、重裝系統(tǒng)、恢復系統(tǒng)等徹底破壞中招環(huán)境的其它操作。

徹底刪除發(fā)現(xiàn)的可疑程序，病毒文件。如果發(fā)現(xiàn)可疑文件后，可以將文件打包為一 個加密壓縮包后再進行刪除或轉移。

清除所有的勒索信息和被加密文件，這可能會影響后續(xù)文件的恢復。

五、 安全加固

已經(jīng)感染過勒索病毒，或者之前感染過挖礦木馬的設備，再次感染勒索病毒的風險非常 高，對于中招設備，排查原因并進行加固是非常必要的。

詳細操作請參考安全加固篇

解密篇

Q1 中勒索病毒，不知是否可解？

A1 可以到 360 勒索病毒搜索引擎查詢所感染勒索病毒家族近況。支持輸入后綴、黑客郵

箱等關鍵詞查詢，也支持上傳被加密文件或黑客留下的勒索提示信息進行查詢。針對查詢結 果：

若查詢結果顯示可解，可通過 360 解密大師解密被加密文件(360 安全衛(wèi)士→功能大全 →360 解密大師)。

若查詢結果顯示“暫時無法解密”，可以過一段時間再來查詢，360 解密大師會不斷更 新版本。

如果查詢不到您所中的勒索病毒屬于哪個家族，可以通過該頁面中的 QQ 群反饋給管理 人員協(xié)助核實。若屬于新型勒索病毒，相關技術人員會嘗試研究該家族是否可解。

Q2 想恢復數(shù)據(jù)，能否提供付費解密服務？

A2 如果查詢結果提示“暫時無法解密”，說明我們的技術人員已對該家族進行過研究，但是暫時沒有找到技術破解的方案。目前我們暫不提供技術破解以外的其他形式解密服務，也 沒有可以推薦的第三方服務商。若您認為確有必要尋求付費解密，可自行聯(lián)系黑客付費購買 密鑰，或通過聯(lián)系第三方購買相關服務。

重要說明：第三方服務商所提供的解密方案為中介性質服務，代替用戶與黑客取得聯(lián)系 并操作后續(xù)的付費、解密流程，本質上并不具備技術破解能力。

Q3 購買密鑰需要注意什么？

A3 首先，我們不推薦任何形式的交付贖金行為。若您執(zhí)意要購買密鑰，我們建議應注意以

下幾點：

⚫ 不建議直接向黑客付款。直接向黑客付款存在很大風險：

其一是可能拿到的解密工具并不能使用；

其二是可能存在密鑰不對，無法解密您的文件；

其三是黑客可能會再次甚至多次向您索要贖金。

⚫ 若必須向黑客付款，可在支付前先向黑客發(fā)送 1 到 2 個被加密文件，確認能解密成功后 再確定是否付款。

⚫ 通過淘寶、搜索引擎或其它方式聯(lián)系到的解密服務商，正式開展解密工作前一定要簽訂合同，明確解密不成功是否需要付款等問題，必要時可要求上門服務。

⚫ 不要咨詢過多第三方商家。因為第三方大多都是去找黑客購買密鑰。過多的聯(lián)系第三方 商家，會造成黑客收到多次關于你設備的咨詢，這可能導致黑客覺察到你對數(shù)據(jù)恢復有 強烈需求，從而提高贖金。

⚫ 不要過度描述自己文件的重要性或自身的經(jīng)濟實力，這可能會造成解密商或黑客提高傭 金或贖金要求。

Q4 360 制作解密工具耗時多長？

A4 解密時間無法估計。若勒索病毒已知，而我們當前又無法給出技術破解方案，說明該勒

索病毒的加密算法不存在顯著的技術漏洞。只能等待黑客的私鑰被公開或泄露，或是有其它 的技術性突破。而這些都是無法做出時間上的預期的。

若該勒索病毒屬于未知家族，可聯(lián)系技術人員查看是否能在被加密機器上找到加密程序 或其他線索。若能找到，可嘗試研究是否可解。

Q5 數(shù)據(jù)恢復方式是否有效？

A5 少部分勒索病毒由于其加密文件所使用的方式問題，導致有機會通過數(shù)據(jù)恢復軟件找回

部分文件。但目前多數(shù)勒索病毒加密后的文件并不能直接找回。

此外，很多勒索病毒加密文件時為了保證效率，只加密文件頭部固定大小的數(shù)據(jù)，所以 部分數(shù)據(jù)庫有機會通過數(shù)據(jù)修復的方法進行恢復。但該方法并不能保證能 100%修復，可能 仍有部分數(shù)據(jù)丟失，其它格式的文件通過該方法恢復的機會則很小。

安全加固篇

面對嚴峻的勒索病毒威脅態(tài)勢，我們分別為個人用戶和企業(yè)用戶給出有針對性的安全建 議。希望能夠幫助盡可能多的用戶全方位的保護計算機安全，免受勒索病毒感染。

一、 針對個人用戶的安全建議

對于普通用戶，我們給出以下建議，以幫助用戶免遭勒索病毒攻擊。

(一)養(yǎng)成良好的安全習慣

電腦應當安裝具有高級威脅防護能力和主動防御功能的安全軟件，不隨意退出安全軟件 或關閉防護功能，對安全軟件提示的各類風險行為不要輕易采取放行操作。 可使用安全軟件的漏洞修復功能，第一時間為操作系統(tǒng)和瀏覽器，常用軟件打好補丁， 以免病毒利用漏洞入侵電腦。

盡量使用安全瀏覽器，減少遭遇掛馬攻擊、釣魚網(wǎng)站的風險。

重要文檔、數(shù)據(jù)應經(jīng)常做備份，一旦文件損壞或丟失，也可以及時找回。

電腦設置的口令要足夠復雜，包括數(shù)字、大小寫字母、符號且長度至少應該有 8 位，不 使用弱口令，以防攻擊者破解。

(二)減少危險的上網(wǎng)操作

不要瀏覽來路不明的色情、賭博等不良信息網(wǎng)站，此類網(wǎng)站經(jīng)常被用于發(fā)起掛馬、釣魚 攻擊。

不要輕易打開陌生人發(fā)來的郵件附件或郵件正文中的網(wǎng)址鏈接。也不要輕易打開擴展名 為 js 、vbs、wsf、bat、cmd、ps1 等腳本文件和 exe、scr、com 等可執(zhí)行程序，對于 陌生人發(fā)來的壓縮文件包，更應提高警惕，先使用安全軟件進行檢查后再打開。

電腦連接移動存儲設備（如 U 盤、移動硬盤等），應首先使用安全軟件檢測其安全性。

對于安全性不確定的文件，可以選擇在安全軟件的沙箱功能中打開運行，從而避免木馬 對實際系統(tǒng)的破壞。

(三)采取及時的補救措施

安裝 360 安全衛(wèi)士并開啟反勒索服務，一旦電腦被勒索軟件感染，可以通過 360 反勒索 服務尋求幫助，以盡可能的減小自身損失，如審核時滿足理賠條件，還可獲得免費解密理賠 服務。

二、 針對企業(yè)用戶的安全建議

(一)企業(yè)安全規(guī)劃建議

對企業(yè)信息系統(tǒng)的保護，是一項系統(tǒng)化工程，在企業(yè)信息化建設初期就應該加以考慮， 建設過程中嚴格落實，防御勒索病毒也并非難事。對企業(yè)網(wǎng)絡的安全建設，我們給出下面幾方面的建議。

➢ 安全規(guī)劃

網(wǎng)絡架構

業(yè)務、數(shù)據(jù)、服務分離，不同部門與區(qū)域之間通過 VLAN 和子網(wǎng)分離，減少因為單點淪 陷造成大范圍的網(wǎng)絡受到攻擊。

內外網(wǎng)隔離

合理設置 DMZ 區(qū)域，對外提供服務的設備要做嚴格管控。減少企業(yè)被外部攻擊的暴露面。 對外暴露機器可通過虛擬化部署，定期做快照備份等方式減少損失。

安全設備部署

在企業(yè)終端和網(wǎng)絡關鍵節(jié)點部署安全設備，并日常排查設備告警情況。

權限控制

包括業(yè)務流程權限與人員賬戶權限都應該做好控制，如控制共享網(wǎng)絡權限，原則上以最 小權限提供服務。降低因為單個賬戶淪陷而造成更大范圍影響。

數(shù)據(jù)備份保護

對關鍵數(shù)據(jù)和業(yè)務系統(tǒng)做備份，如離線備份，異地備份，云備份等，避免因為數(shù)據(jù)丟失、 被加密等造成業(yè)務停擺，甚至被迫向攻擊者妥協(xié)。盡量做到多方式備份。

➢ 安全管理

賬戶口令管理

嚴格執(zhí)行賬戶口令安全管理，重點排查弱口令問題，口令長期不更新問題，賬戶口令共 用問題，內置、默認賬戶問題。

補丁與漏洞掃描

了解企業(yè)數(shù)字資產(chǎn)情況，將補丁管理做為日常安全維護項目，關注補丁發(fā)布情況，及時 更新系統(tǒng)、應用系統(tǒng)、硬件產(chǎn)品安全補丁。定期執(zhí)行漏洞掃描，發(fā)現(xiàn)設備中存在的安全 問題。

權限管控

定期檢查賬戶情況，尤其是新增賬戶。排查賬戶權限，及時停用非必要權限，對新增賬 戶應有足夠警惕，做好登記管理。

內網(wǎng)強化

進行內網(wǎng)主機加固，定期排查未正確進行安全設置，未正確安裝安全軟件設備，關閉設 備中的非必要服務，提升內網(wǎng)設備安全性。

➢ 人員管理

人員培訓

對員工進行安全教育，培養(yǎng)員工安全意識，如識別釣魚郵件、釣魚頁面等。

行為規(guī)范

制定工作行為規(guī)范，指導員工如何正常處理數(shù)據(jù)，發(fā)布信息，做好個人安全保障。如避 免員工將公司網(wǎng)絡部署，服務器設置發(fā)布到互聯(lián)網(wǎng)之中。

(二)定期排查項

定期檢測系統(tǒng)和軟件中的安全漏洞，及時打上補丁。

定期檢測 Windows 系統(tǒng)日志是否存在異常。

定期檢測殺毒軟件是否存在異常攔截情況。

定期排查域控和管控設備日志，檢查登錄和下發(fā)情況。

定期檢測系統(tǒng)賬戶是否存在異常：

a) 是否有新增賬戶

b) Guest 是否被啟用

c) 是否有賬戶異常登錄記錄

d) 口令是否設置仍均滿足復雜度要求，且定期有更換口令。

6. 定期檢測是否有對重要文件夾進行備份

7. 定期檢測內網(wǎng)是否有未經(jīng)允許對 3389、445、139 等端口開放的設備。

勒索病毒問答

Q1 勒索病毒是否有傳播性？

A1 理論上病毒代碼可以帶有任意形式的惡意功能，因此無法保證特定一款勒索病毒不具有

傳播性。但就目前實際捕獲到的勒索病毒來看，更多的勒索病毒自身并不具備自主傳播的特 征（WannaCry 是個例外）。然而這并不代表其不會影響到局域網(wǎng)內的其他機器，受影響的機 器會有如下幾類情形。

1. 和被感染機器在同一內網(wǎng)，并與被感染機器共享部分文件夾。由于被感染機器能直接訪 問到該文件夾，如果沒有設置適當?shù)臋嘞蘅刂�，病毒就能將該共享文件夾加密。 自查是否只有共享被加密：win+r 輸入 cmd，然后輸入 net share 回車。即可看到當前 設備共享了哪些文件夾。

也可通過計算機管理查看：

對于自行添加的共享文件夾，可以調整權限，如果沒有使用需求的，可以直接關閉共享。

2. 黑客利用被感染機器作為跳板，嘗試通過掃描同網(wǎng)段端口、查看遠程桌面登錄記錄 、Nday漏洞攻擊等方式攻擊內網(wǎng)其他機器。

Q2 文件已被加密，但掃不出病毒？

A2 勒索病毒受害者經(jīng)常在發(fā)現(xiàn)中毒后第一時間會使用殺毒軟件進行查殺，但殺毒軟件卻沒有查殺到可疑文件，這種現(xiàn)象很常見，也有很多種可能情況：

大部分情況下，勒索病毒在加密完文件后便會自刪除，留下被加密的文件，而被加密文件不帶毒。

黑客將勒索提示信息寫入到開機啟動項，用戶關機重啟后會彈出勒索窗口，那是黑客留下的勒索提示信息文檔，用來指導用戶如何聯(lián)系他們支付贖金恢復文件。一般只是文檔，本身并不具備加密功能，也不是病毒。

本機并非被勒索病毒直接感染機器，僅因和中毒機器進行了文件共享導致共享文件夾被加密。這種勒索病毒程序是在其它設備中的，當然計算機中沒有病毒。

Q3 如何判斷系統(tǒng)是否還存在勒索病毒？

A3 部分中招用戶在文件恢復后不確定系統(tǒng)是否安全，想知道如何處理才能盡可能保證此次攻擊事件遺留問題都被解決。針對此問題我們給出以下處理流程。

在斷網(wǎng)處理后的感染設備上新建文檔，看文件是否會被加密。若被加密，說明勒索病毒仍在運行，可使用最新帶離線病毒包的360殺毒進行查殺，如果360殺毒無法正常安裝，可嘗試在winpe下進行查殺。

在完成步驟一之后，確認沒有存在的病毒存在，建議連網(wǎng)使用360安全衛(wèi)士對該設備進行徹底查殺。注意需要清理殺毒軟件的信任區(qū)。

查殺完畢后對系統(tǒng)常規(guī)項進行檢查，具體項目請參考安全加固→定期排查項。

其它常見問題

Q1 不知道為什么就中招了，想知道具體中毒原因

A1 下面總結幾個常見的中毒原因：

 開啟了遠程桌面 ，設置的密碼太簡單、或使用初始密碼，被登錄投毒。太簡單、或使用初始密碼，被登錄投毒。

 下載了激活工具或者破解軟件導致中毒文件被加密。

 設置了共享文件夾，局域網(wǎng)內有其它機器中招，導致共享文件夾的數(shù)據(jù)被其它機器的病毒加密。

 運行了釣魚郵件中的附件導致中毒文件被加密。

 系統(tǒng)中存在漏洞導致中毒文件被加密。

 U盤蠕蟲導致文件被加密。

 其它弱口令攻擊，例如mysql，tomcat等。

對于不確定什么原因導致文件被加密的，可以提交反勒索服務，聯(lián)系我們的工作人員協(xié)助您來排查具體中招原因。具體操作流程可參考360反勒索服務。

Q2 勒索病毒是否會在內網(wǎng)中橫向轉播？

A2 大部分黑客在投毒之前會先嘗試拿到內網(wǎng)中更多機器的權限，手段不限，常見手段如下：

弱口令攻擊

包括遠程桌面弱口令、數(shù)據(jù)庫弱口令、tomcat弱口令、共享文件夾弱口令等等。

漏洞攻擊

如永恒之藍相關漏洞、java漏洞、weblogic漏洞、泛微OA漏洞等等。

非主動傳播

中毒機器所在內網(wǎng)種存在部分機器設置了共享文件夾，并且未設置訪問權限，導致中毒機器能直接訪問到該機器的文件，從而導致文件被加密。

因此，內網(wǎng)中中毒機器應及時斷網(wǎng)，找到中毒原因后再做處理。同時應立即修改內網(wǎng)中所有機器的密碼，因為黑客登錄用戶機器后都會嘗試收集內網(wǎng)中其他機器的口令。

Q3 插入U盤文件被加密了，那文件還能備份嗎？

A3 插入U盤，U盤中的文件被加密了，說明勒索病毒還在系統(tǒng)中運行。需要結束掉該勒索病毒。被加密的文件本身不帶病毒。只需防范好U盤蠕蟲的運行，就可以放心備份到其他地方。

Q4 中毒系統(tǒng)需要重裝嗎？

A4 建議找到具體中招原因后再重裝。在過往的案例中，存在因病毒入侵途徑未被找到并及時封堵所導致的多次中招案例，且存在付款后再次被加密案例。

Q5 我安裝了NSAtools為什么還是中了勒索病毒？

A5 NSAtools只是一個針對“WANNACRY勒索病毒的防護工具”，并非是針對所有勒索病毒的免疫工具。勒索病毒的傳播渠道很多，安裝了NSAtools只是關閉了一條勒索病毒的傳播渠道。

廣告：