1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 医药卫生
  5. 内科

勒索病毒应急响应指导手册.doc

勒索病毒应急响应指导手册.doc

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    查看更多

    勒索病毒应急响应指导手册

    政企机构遭遇勒索病毒攻击时,如果及时采取必要的自救措施,就能有效阻止损失扩大,为等待专业救援争取时间。为帮助遭受勒索病毒攻击的政企机构和个人用户正确应急处置,腾讯安全团队整理了此份《勒索病毒应急响应指导手册》,希望能对广大用户有所帮助。

    一、自诊判断是否感染勒索病毒

    1.1什么是勒索病毒

    勒索病毒是一种黑客通过技术手段将受害者机器内的重要数据文件进行加密,最终迫使受害者向黑客缴纳赎金来解密文件,从而非法牟利勒索钱财的病毒。勒索病毒是近年来极为流行的病毒类型之一。

    勒索病毒主要有以下几种类型:

    A.使用加密算法对攻击机器内的文件进行加密(流行)

    B.直接对磁盘分区进行加密(较少)

    C.劫持操作系统引导区后禁止用户正常登录操作系统(较少)

    1.2如何判断遭受勒索病毒感染

    ????由于勒索病毒最终以勒索钱财为目的,与传统类型病毒获利模式有较大差异,当受害者遭受到勒索病毒攻击后会产生极为明显的受勒索特征。通过观察遭受勒索病毒攻击机器环境发现病毒造成的明显异常点,可进一步确诊自身当前是否遭受到勒索病毒攻击。

    ????具体可通过以下几种方式来进行判断自己中毒类型是否为勒索病毒。

    ????1)电脑桌面壁纸被篡改

    勒索病毒攻击成功后,为了让受害者第一时间感知到被病毒入侵,部分情况下会修改用户当前电脑桌面壁纸,告知受害者当前已被病毒感染,需要缴纳赎金进行解密。

    如下图为GandCrab勒索病毒感染后的情景:用户的桌面壁纸被修改为黑色背景且带有勒索信息。

    ????2)有明显的勒索信息窗口展示

    勒索病毒加密文件完成后,通常会在被加密文件所在目录下创建一个勒索提示说明文档。为了更加直观,勒索病毒完成文件加密后通常会自动打开该文档。该说明文档通常为txt或html文件类型,部分病毒也会直接使用病毒程序弹出窗口的形式来展示勒索信息。

    ????3)文件后缀被修改且文件使用打开异常

    勒索病毒为了标识被自身加密过的文件,通常情况下会在完成文件加密后,修改被加密文件的原始后缀。被修改后的文件后缀区别于常见文件类型,因此通过该后缀也可判断确诊是否遭受到了勒索病毒攻击,下图为图片文件被加密后添加了dlkjq后缀,此时该图片文件已无法正常打开使用。

    1.3.如何判断当前感染了哪种勒索病毒

    腾讯安全团队通过收集当前国内外存在的勒索病毒家族,归纳各家族勒索病毒特征,开发出一个支持超过检索280余种勒索病毒家族的搜索引擎。

    当用户遭受勒索病毒攻击后,可通过该搜索引擎获取更多病毒相关信息,如病毒名称、特征描述、是否支持解密等(搜索引擎地址/pr/ls/#navi_0)

    勒索病毒搜索引擎支持以下形式的内容输入检出

    ????1)通过文件加密后缀信息搜索

    ????2)通过勒索提示文档名信息搜索

    ????3)通过勒索病毒留下的其它关键字搜索

    二、数据解密恢复

    2.1.确认被加密文件是否可以使用工具解密

    1)使用腾讯安全团队提供的勒索病毒搜索引擎,可查询该病毒是否支持使用工具进行解密,如支持解密,可直接点击下载工具对文件进行解密。(搜索引擎地址/pr/ls/#navi_0)

    2)通过使用腾讯电脑管家文档守护者功能,扫描被加密文件目录,也可确认该文件是否支持解密。

    2.2没有解密工具的情况下还可以做什么

    中毒前如安装腾讯电脑管家或者御点终端安全管理系统,并开启了文档守护者功能,文档守护者会对系统内的重要数据进行备份保护,当系统不幸感染勒索病毒,可进行备份文件恢复。?

    若没有提前开启文档守护者功能,可尝试使用腾讯电脑管家工具箱内的文件恢复工具。如仍无法恢复数据,建议对被加密数据进行保存,等待未来可能出现的数据恢复方案。

    2.3.为什么只有部分病毒可以解密

    绝大多数情况下,勒索病毒使用了高强度非对称加密算法对文件进行加密(例:RSA+AES),由于算法不可逆,被勒索病毒加密的文件通过常规技术手段无法解密。少数可解密情况主要包含以下场景:

    1.由于勒索病毒自身设计缺陷导致的加密算法可逆,密钥泄漏场景下的文件可解密。

    2.得益于警方与安全公司的合作,对勒索团伙进行打击后拿到了病毒作者手中的密钥,进而使用该密钥开发出解密工具。

    3.勒索病毒作者自己放出了手中的密钥,进而开发出了解密工具。

    由于上述该类型场景均为小概率事件,所以并不是所有类型勒索病毒均可以解密。

    三、感染勒索病毒后正确的应急处理流程

    3.1.采取适当的自救措施

    用户确认遭受到了勒索病毒攻击后,建议在专业的安全人员到来之前,采取正确的紧急自救措施,以防止病毒导致灾情扩大。

    自救措施可参照以下流程:

    ????1)物理、网络隔离染毒机器

    对于已经中毒的机器,建议在内网下线处理,后续确认清理病毒完毕且无风险后才能重新接入网络,避免病毒横向传播导致局域网内其它机器被动染毒。

    ????2)工作环境风险排除

    ??

    您可能关注的文档

    最近下载

    文档评论(0)

    zgc1960 + 关注
    实名认证
    内容提供者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >