SRC勒索病毒-Makop的变体(通用处置方法)
1.前言
勒索病毒威胁已经成为当前最受关注的网络安全风险之一。而结合信息窃取和泄露的二次勒索模式,使得勒索病毒的危害进一步加深。针对个人、企业、政府机关、各类机构的攻击层出不穷,在勒索病毒威胁面前,没有人能够置身事外。在勒索病毒处置中,如能及时正确处置,可有效降低勒索病毒带来的损失,避免病毒影响进一步扩散。
发现被感染勒索病毒之后,第一时间的正确处置能有效降低勒索病毒带来的损失,避免病毒影响进一步扩散,更快找到解决方案。对于企业而言,往往是多台设备同时被勒索病毒攻击,且同一内网之中可能还存在其它尚未被感染设备。针对这一情况,为了避免勒索病毒进一步扩散,提供以下处理流程方案供参考。
2.SRC病毒介绍
SRC勒索软件变体属于 Makop 系列。渗透后,SRC 会加密文件,附加受害者的 ID、restoreBackup@cock.li 电子邮件地址和“.SRC“扩展名。此外,SRC 还会更改桌面壁纸并提供赎金记录(“+README-WARNING+.txt”)
3.通用处置方法
3.1首要防扩散处置
若发现设备中还有未被加密文件,应及时切断网络并关闭计算机。关闭计算机能及时阻止勒索病毒继续加密文件,且避免再次直接开机。
若发现文件均已被加密,可切断网络之后,联系专业技术人员,查看病毒程序是否还在运行。若还在运行,则可尝试抓取内存dump,为后续解密提供帮助。
3.2查询病毒信息
病毒留下的勒索信息
被病毒加密的文件
被加密后的桌面背景
发现的可疑样本
弹窗信息
我们可以看到后缀为.SRC。
我本来倾向于360这家公司的产品,虽然他现在要吃广告的这碗饭,不得不说他的实力再国内还是很强的。
输入后缀,发现属于Makop家族的变体,目前暂无解密工具。(20240603)
网址:https://lesuobingdu.360.cn/
3.3攻击方式排查
远程桌面
检查 Windows 日志中的安全日志以及防火墙日志等
共享设置
检查是否只有共享出去的文件被加密。
激活/破解
检查中招之前是否有下载未知激活工具或者破解软件。
僵尸网络
僵尸网络传播勒索病毒之前通常曾在受害感染设备部署过其它病毒木马,可通过使 用杀毒软件进行查杀进行判断。
第三方账户
检查是否有软件厂商提供固定密码的账户或安装该软件会新增账户。包括远程桌面、 数据库等涉及到口令的软件。
软件漏洞
根据系统环境,针对性进行排查,例如常见被攻击环境 Java、通达 OA、致远 OA 等。查 web 日志、排查域控与设备补丁情况等
页面挂马
检查中毒之前浏览器的历史访问记录,是否存在可疑网站,特别是访问时出现过页 面跳转网站。
钓鱼邮件
检查邮件记录和中毒前一段时间的网址访问记录,检查是否点击过可疑链接或下载、 运行过附件中的程序、脚本等。并注意:熟人邮件或常用网址并不绝对安全,也许排查。
U 盘蠕虫
U 盘蠕虫下发勒索病毒之前通常也是长期驻扎在系统中,也会残留一些病毒木马在 系统中,可通过杀毒软件查杀识别。
数据库弱口令
检查 sql 日志,Windows 日志中的应用程序日志。
主动运行
检查打开程序与文件记录。
NAS 弱口令
检查 NAS 日志。
VNC 弱口令
检查服务器 VNC 配置
排查公司流量情况,以上排查都应该格外关注非工作时段和海外 ip 的访问情况。
勒索病毒投递阶段的攻击者,往往是采用多种技术手段相结合进行病毒投递的,需要对 中招环境的各种可能攻击途径都进行排查。由于近年来,窃取数据进行勒索的案例大量增加, 对于企业数据是否失窃或者泄密也应进行排查。
3.4解密方法
1.工具解密
在上述网站(https://lesuobingdu.360.cn/)中可以查询,如有免费解密工具即可解密。
a.若查询结果显示可解,可通过 360 解密大师解密被加密文件(360 安全卫士→功能大全 →360 解密大师)。
b.若查询结果显示“暂时无法解密”,可以过一段时间再来查询,360 解密大师会不断更 新版本。
c.如果查询不到您所中的勒索病毒属于哪个家族,可以通过该页面中的 QQ 群反馈给管理 人员协助核实。若属于新型勒索病毒,相关技术人员会尝试研究该家族是否可解。
2.支付赎金解密
这是很不推荐的一种方式,信誉没有保障。
3.数据恢复
少部分勒索病毒由于其加密文件所使用的方式问题,导致有机会通过数据恢复软件找回部分文件。但目前多数勒索病毒加密后的文件并不能直接找回。
此外,很多勒索病毒加密文件时为了保证效率,只加密文件头部固定大小的数据,所以 部分数据库有机会通过数据修复的方法进行恢复。但该方法并不能保证能 100%修复,可能 仍有部分数据丢失,其它格式的文件通过该方法恢复的机会则很小。
4.日常防范
面对严峻的勒索病毒威胁态势,分别为个人用户和企业用户给出有针对性的安全建 议。希望能够帮助尽可能多的用户全方位的保护计算机安全,免受勒索病毒感染。
4.1个人防范
一、 针对个人用户的安全建议
对于普通用户,我们给出以下建议,以帮助用户免遭勒索病毒攻击。
(一) 养成良好的安全习惯
1. 电脑应当安装具有高级威胁防护能力和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易采取放行操作。
2. 可使用安全软件的漏洞修复功能,第一时间为操作系统和浏览器,常用软件打好补丁,以免病毒利用漏洞入侵电脑。
3. 尽量使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。
4. 重要文档、数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
5. 电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。
(二) 减少危险的上网操作
1. 不要浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。
2. 不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js 、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。
3. 电脑连接移动存储设备(如U盘、移动硬盘等),应首先使用安全软件检测其安全性。
4. 对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
(三) 采取及时的补救措施
1. 安装360安全卫士并开启反勒索服务,一旦电脑被勒索软件感染,可以通过360反勒索服务寻求帮助,以尽可能的减小自身损失。
4.2企业防范
(一) 企业安全规划建议
对企业信息系统的保护,是一项系统化工程,在企业信息化建设初期就应该加以考虑,建设过程中严格落实,防御勒索病毒也并非难事。对企业网络的安全建设,我们给出下面几方面的建议。
1. 安全规划
网络架构,业务、数据、服务分离,不同部门与区域之间通过VLAN和子网分离,减少因为单点沦陷造成大范围的网络受到攻击。
内外网隔离,合理设置DMZ区域,对外提供服务的设备要做严格管控。减少企业被外部攻击的暴露面。
安全设备部署,在企业终端和网络关键节点部署安全设备,并日常排查设备告警情况。
权限控制,包括业务流程权限与人员账户权限都应该做好控制,如控制共享网络权限,原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。
数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等,避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
敏感数据隔离,对敏感业务及其相关数据做好网络隔离,如有必要甚至建议做好设备之间的物理隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。
2. 安全管理
账户口令管理,严格执行账户口令安全管理,重点排查弱口令问题,口令长期不更新问题,账户口令共用问题,内置、默认账户问题。
补丁与漏洞扫描,了解企业数字资产情况,将补丁管理作为日常安全维护项目,关注补丁发布情况,及时更新系统、应用系统、硬件产品安全补丁。定期执行漏洞扫描,发现设备中存在的安全问题。
权限管控,定期检查账户情况,尤其是新增账户。排查账户权限,及时停用非必要权限,对新增账户应有足够警惕,做好登记管理。
内网强化,进行内网主机加固,定期排查未正确进行安全设置,未正确安装安全软件设备,关闭设备中的非必要服务,提升内网设备安全性。
3. 人员管理
人员培训,对员工进行安全教育,培养员工安全意识,如识别钓鱼邮件、钓鱼页面等。
行为规范,制定工作行为规范,指导员工如何正常处理数据,发布信息,做好个人安全保障。如避免员工将公司网络部署,服务器设置发布到互联网之中。
(二) 发现遭受勒索病毒攻击后的处理流程
1. 发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件。
2. 联系安全厂商,对内部网络进行排查处理。
3. 公司内部所有机器口令均应更换,你无法确定黑客掌握了内部多少机器的口令。
(三) 遭受勒索病毒攻击后的防护措施
1. 比照“企业安全规划建议”中的事项,对未尽事项目进行及时更正或加强。
2. 检测系统和软件中的安全漏洞,及时打上补丁。
是否有新增账户
Guest是否被启用
Windows系统日志是否存在异常
杀毒软件是否存在异常拦截情况
3. 检查登录口令要有足够的长度和复杂性,并更新安全度不足或疑似已经泄露的登录口令。
4. 对尚未被加密的重要文件进行及时备份,避免依然存在活跃的勒索病毒对重要数据进行新一轮加密。
5. 加强对敏感数据的隔离,如可行,尽可能完全断开敏感数据与外界的一切连接。避免具有多重勒索功能的病毒进一步获取更多的重要信息作为勒索筹码。
4.3不建议支付赎金
最后——无论是个人用户还是企业用户,都不建议支付赎金!
支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。可以尝试通过备份、数据恢复、数据修复等手段挽回部分损失。比如:部分勒索病毒只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来修复被加密文件。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。
5.总结
当我们中了病毒之后,首先要中止病毒的加密与传播,查询病毒的信息,针对病毒的信息查询解密工具,首推360的勒索病毒解密工具,若有解密工具直接使用工具解密,没有就尝试使用数据恢复,切莫考虑支付赎金。
杀毒软件的安装是日常中最简单最有效的防范手段,包括日常的使用习惯。普通人在杀毒软件中通过点击即可开启防勒索服务、系统加固和文件解密。
如果没用重要的数据,直接重装。
多系统,多介质,多地点的数据备份也是常见的防范手段。
6.鸣谢
某同学的遭遇,给这篇文章带来立意和素材,要是服务器再给我操作处置那就更好了。
感谢360对于文章的支持和360防勒索服务,自上次实验室中招后,老版本的系统现在并无重复出现勒索病毒,当然也上了其他的科技手段。