市场背景
勒索攻击产业化
勒索事件高发,勒索软件即服务成主流。市场上加壳变种工具广泛,攻击成本降低。团伙有组织、资金支持,商业模式套现快、周期短,勒索软件爆发。
勒索变种多样
传统杀软无法抵挡勒索变种,速度快、手法高级。勒索软件目标性强,可定制绕过检测,含有APT属性。传统终端安全产品难以对抗,导致无法检测、响应迟缓,企业内网被入侵、大面积感染。
安全设备割裂无协同
响应处置慢,网端安全产品堆叠无协同,大量告警淹没真实威胁,处置响应依赖人工。导致威胁驻留时间长,勒索横向扩散,危害大。
勒索攻击精准化
缺乏持续监测与应急响应机制 勒索攻击精准化,且专挑企业空档时间攻击,夜间行动,但目标组织自身不具备快速预防、监测、处置的专家资源,缺乏应急资源池。
方案概述
当今,勒索事件高发,勒索软件即服务成主流。市场上加壳变种工具广泛,攻击成本降低。团伙有组织、资金支持,商业模式套现快、周期短,勒索软件爆发。亟需一种逻辑清晰、防治有效的方案来拯救。本方案参考了中国信息通信研究院联合行业七家单位共同编制《勒索病毒安全防护手册》,及一线工程师在应急现场获得的大量宝贵经验。
事前
做好应急预案、安全管理、产品部署、数据备份、安全意识。
事中
做好隔离设备、 排查感染范围、 事件原因研判、 病毒破解。
事后
数据恢复、加强制度管理、修补安全隐患、业务环境恢复。
救急干货
如果不幸中招,可以参考以下思路进行及时止损与补救。
数据不重要
1、找准中毒原因,避免二次中毒
2、对中毒机器格式后重装系统
3、安全加固网络环境
4、保持观察
数据重要但不紧急
1、将中毒数据备份,等待网上公布破解工具
2、找准中毒原因,避免二次中毒
3、对中毒机器格式后重装系统
4、安全加固网络环境
数据重要且紧急
1、先断网而不是先关机,先备份而不是先杀毒
2、确定勒索病毒家族,尝试使用免费解密工具
3、寻求专业技术支持,找出原因避免二次中毒
4、谨慎联系黑客避免二次上当,格式化重装
勒索病毒案例
2023年8月3日,某科技公司的服务器突然受到了毁灭性的黑客攻击。黑客利用了3389端口的弱密码漏洞,成功侵入系统并安装了AnyDesk远程桌面软件及其他可疑程序。这些程序开始加密服务器上的关键文件,使其无法访问。
首个受攻击的服务器名为server-test,在凌晨2点08分被感染,勒索病毒在不到10分钟后进行了第二轮加密操作。所有受影响文件都被加密成了无法解读的乱码,并留下勒索信息要求支付赎金。
公司立即求助网络安全专家展开应急调查。工程师们确定了攻击时间、方式和攻击者IP地址,确认了勒索病毒为Bladabindi家族。
工程师们隔离了受感染机器,并在备份数据的情况下恢复文件,同时加固系统防止再次攻击。利用安全设备封禁了勒索病毒访问的境外IP地址。