勒索病毒应急响应自救手册2.028页.pdfVIP

勒索病毒应急响应

自救手册2.0

1

编写说明

勒索病毒，是伴随数字货币兴起的一种新型病毒木马，通常以垃圾邮件、服

务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻

击，将会使绝大多数文件被加密算法修改，并添加一个特殊的后缀，且用户无法

读取原本正常的文件，对用户造成无法估量的损失。勒索病毒通常利用非对称加

密算法和对称加密算法组合的形式来加密文件，绝大多数勒索软件均无法通过技

术手段解密，必须拿到对应的解密私钥才有可能无损还原被加密文件。黑客正是

通过这样的行为向受害用户勒索高昂的赎金，这些赎金必须通过数字货币支付，

一般无法溯源，因此危害巨大。

自2017年5月WannaCry（永恒之蓝勒索蠕虫）大规模爆发以来，勒索病毒

已成为对政企机构和网民直接威胁最大的一类木马病毒。近期爆发的

Globelmposter、GandCrab、Crysis等勒索病毒，攻击者更是将攻击的矛头对准企

业服务器，并形成产业化；而且勒索病毒的质量和数量的不断攀升，已经成为政

企机构面临的最大的网络威胁之一。

为帮助更多的政企机构，在遭遇网络安全事件时，能够正确处置突发的勒索

病毒，及时采取必要的自救措施，阻止损失扩大，为等待专业救援争取时间。奇

安信集团安服团队结合1000余次客户现场救援的实践经验，整理了《勒索病毒

应急响应自救手册》，希望能对广大政企客户有所帮助。

2

目录

第一章常见勒索病毒种类介绍5

一、WANNACRY勒索5

二、GLOBEIMPOSTER勒索6

三、CRYSIS/DHARMA勒索6

四、GANDCRAB勒索7

五、SATAN勒索8

六、SACRAB勒索9

七、MATRIX勒索10

八、STOP勒索11

九、PARADISE勒索11

第二章如何判断病情14

一、业务系统无法访问14

二、电脑桌面被篡改14

三、文件后缀被篡改15

第三章如何进行自救17

一、正确处置方法17

二、错误处置方法18

第四章如何恢复系统20

一、历史备份还原20

二、解密工具恢复20

三、专业人员代付20

四、重装系统21

第五章如何加强防护22

一、终端用户安全建议22

3

二、政企用户安全建议22

附录1：勒索病毒已知被利用漏洞合集24

附录2：奇安信安全服务团队25

附录3：奇安信虚拟化安全管理系统26

附录4：奇安信天擎敲诈先赔服务27

附录5：奇安信安全监测与响应中心28

4

第一章常见勒索病毒种类介绍

自2017年“永恒之蓝”勒索事件之后，勒索病毒愈演愈烈，不同类型的变

种勒索病毒层出不穷。

勒索病毒传播素以传播方式快，目标性强著称，传播方式多见于利用“永恒

之蓝”漏洞、爆破、钓鱼邮件等方式传播。同时勒索病毒文件一旦被用户点击打

开，进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。所

以，加强对常见勒索病毒认知至关重要。如果在日常工作中，发现存在以下特征

的文件，需务必谨慎。由于勒索病毒种类多至上百种，因此特整理了近期流行的

勒索病毒种类、特征及常见传播方式，供大家参考了解：

一、WannaCry勒索

2017年5月12日，WannaCry勒索病毒全球大爆发，至少150个国家、30

万名用户中招，造成损失达80