2017年，“WannaCry”勒索病毒橫空出世，席卷全球，此后六年勒索病毒猶如洪水泛濫般一發(fā)不可收拾，尤其是在制造業(yè)。

勒索病毒攻擊手段逐漸多樣化（木馬、郵件、漏洞、捆綁），國內(nèi)外制造業(yè)成為頭號攻擊對象，曾有行業(yè)內(nèi)用戶表示“中過招，還好有備份，但如何防范還是不太清楚，擔心被竊取的信息泄露出去，也不想病毒在內(nèi)網(wǎng)中偷偷傳播，行業(yè)里越來越多同行都開始重視防范，我們也希望能好好防范”。

經(jīng)烽臺科技在工業(yè)網(wǎng)絡靶場中的實踐研究分析顯示，靶場仿真技術可針對不同業(yè)務層設備，搭建環(huán)境多維度高度仿真。工業(yè)網(wǎng)絡靶場的仿真環(huán)境內(nèi)嵌完整的應急響應步驟，在攻擊者利用勒索病毒對企業(yè)進行攻擊時，制造業(yè)企業(yè)可根據(jù)攻擊者勒索的主機，進行應急響應步驟，對被勒索主機網(wǎng)絡隔離、病毒分析、阻止擴散、殺毒、解密、加固等應急響應。

今日，烽臺科技就將“制造業(yè)如何在靶場內(nèi)進行勒索病毒應急演練”做專業(yè)的分析講解，一解大家心中之惑。

一     勒索病毒

正所謂，知彼知己，百戰(zhàn)不殆。第一部分，先帶大家了解勒索病毒定義、影響、分類以及相關勒索事件。

1.1     勒索病毒簡介

【定義】勒索病毒是一種極具破壞性，傳播性的惡意軟件，是伴隨數(shù)字貨幣興起的一種新型病毒木馬。

【影響】企業(yè)遭受勒索病毒攻擊時，內(nèi)部終端大部分文件被加密算法修改。并添加該類型勒索病毒特色的后綴，可導致用戶終端文件無法讀取，對用戶造成無法估量的損失。

【原理】勒索病毒通常利用非對稱加密算法和對稱加密算法組合的形式來加密文件。絕大多數(shù)勒索軟件均無法通過技術手段解密，必須支付黑客贖金拿到對應的解密私鑰才有可能還原被加密文件。因通過數(shù)字貨幣支付。一般無法溯源，因此危害巨大。

【傳播途徑】郵件傳播、漏洞傳播、介質(zhì)傳播、捆綁傳播。

1.2     勒索病毒分類

勒索病毒種類繁多，常見的有四類，分別為文件加密類、數(shù)據(jù)竊取類、系統(tǒng)加密類、屏幕鎖定類，每一類都有不同病毒代表和中毒特點。

1.2.1     文件加密類勒索病毒

病毒定義：該類型病毒如RSA、AES等，通過多種加密算法對文件進行加密，并要求支付贖金獲取密鑰，一旦感染，文件很難恢復。

病毒代表：“WannaCry”，通過加密算法加密文件，并在暗網(wǎng)進行交易。

1.2.2     數(shù)據(jù)竊取類勒索病毒

病毒定義：該類型病毒與文件加密病毒相似，同樣加密用戶數(shù)據(jù)，并要求支付贖金，一旦感染，文件很難恢復，但在勒索過程中還會竊取用戶重要數(shù)據(jù)，以公開方式脅迫用戶交贖金。

病毒代表：“Conti”，攻擊且感染全球政府部門及企業(yè)，通過加密算法竊取文件。

1.2.3     系統(tǒng)加密類勒索病毒

病毒定義：該類型病毒會加密系統(tǒng)磁盤引導記錄、卷引導記錄，同樣加密用戶數(shù)據(jù)，一旦感染，系統(tǒng)很難啟動，并要求用戶支付贖金。

病毒代表：“Petya”，以病毒內(nèi)嵌的主引導記錄代碼覆蓋磁盤扇區(qū)，使設備系統(tǒng)無法正常開啟。

1.2.4     屏幕鎖定類勒索病毒

病毒定義:該類型病毒會對用戶設備屏幕進行鎖定，通常以全屏形式呈現(xiàn)涵蓋勒索信息圖像,使用戶無法登錄設備。

病毒代表:“WinLock”，鎖定設備屏幕，要求通過短信進行支付。

1.3     工業(yè)企業(yè)勒索病毒事件

隨著互聯(lián)網(wǎng)在工業(yè)中的廣泛應用，針對工業(yè)安全的各式網(wǎng)絡攻擊事件日益增多，尤其在電力、石油、鐵路運輸、燃氣、化工、制造業(yè)、能源、核應用等相關領域的關鍵網(wǎng)絡一直都是全球攻擊者的首選目標。據(jù)國家工信安全中心統(tǒng)計，2022年公開披露的工業(yè)信息安全事件共312起，覆蓋了十幾個工業(yè)細分領域。

勒索攻擊持續(xù)威脅工業(yè)信息安全，截至2022年，公開披露的工業(yè)領域勒索事件共89起，較2021年增長百分比高。勒索攻擊手段方法更加復雜化，多重勒索成為攻擊者重要手段，跨平臺勒索軟件應用更趨廣泛，間歇性加密成為勒索攻擊新方式。

據(jù)相關數(shù)據(jù)統(tǒng)計，制造業(yè)成為其中勒索攻擊的主要目標。電子制造行業(yè)遭勒索病毒攻擊最多，汽車制造行業(yè)成為僅次于電子制造業(yè)的重點目標。勒索攻擊造成的數(shù)據(jù)安全相關損失和影響持續(xù)加大。

1.3.1    典型案例分享

(1)    某機電受到“勒索病毒”攻擊導致其停產(chǎn)，詳情如下：

事件經(jīng)過

2018年，由于工作人員在使用了未打補丁的 Windows 系統(tǒng)安裝軟件過程中操作失誤，感染W(wǎng)annaCry變種病毒。因病毒已存在于新機臺內(nèi)，新機臺又未經(jīng)隔離查殺病毒就與其他電腦進行連接，從而導致病毒擴散。

事件影響

事件造成該廠三大重要生產(chǎn)基地生產(chǎn)線停擺，導致其停產(chǎn)數(shù)日，預估經(jīng)濟損失高達11.5億元人民幣。

(2)    A國某管道公司遭受勒索病毒攻擊導致輸油管道停運，詳情如下：

事件經(jīng)過

2021年，總部位于A國的某管道運輸公司發(fā)布消息，確認公司遭受勒索軟件的攻擊，因此關閉了旗下多條主干成品油管道，并聘請網(wǎng)絡安全專家進行處理和調(diào)查。此次勒索軟件攻擊事件是某個網(wǎng)絡犯罪團伙發(fā)起的，在入侵某管道運輸公司的網(wǎng)絡后，獲取了大量數(shù)據(jù)，以此威脅要求贖金。

事件影響

事件直接導致A國沿海主要城市輸送油氣管道系統(tǒng)被迫下線。對目標系統(tǒng)植入惡意軟件,劫持了將近100GB的數(shù)據(jù)以索要贖金。

二     工業(yè)網(wǎng)絡靶場

工業(yè)網(wǎng)絡靶場是集工業(yè)攻防演練、工業(yè)人才培養(yǎng)、工業(yè)產(chǎn)品測試等功能于一體的綜合場景仿真平臺。

如何防范勒索攻擊？“中招”之后應如何處理？對于制造業(yè)用戶的實際需求，工業(yè)網(wǎng)絡靶場毫無疑問的為用戶提供了一種最安全、有效的環(huán)境，讓安全團隊可在靶場內(nèi)安心的進行多類別勒索病毒攻擊與處置的應急演練。

2.1    工業(yè)網(wǎng)絡靶場簡介

工業(yè)網(wǎng)絡靶場是面向工控網(wǎng)絡仿真環(huán)境建設的基礎網(wǎng)絡設施。旨在通過工業(yè)網(wǎng)絡靶場建設，為能源、電力、鋼鐵、有色、智能制造、軍工等關系到國計民生、國家安全等重點行業(yè)和領域提供分析、設計、研發(fā)、集成、測試、評估、運維等全生命周期保障服務。

因工控網(wǎng)絡環(huán)境復雜，生產(chǎn)實時性要求高，企業(yè)網(wǎng)絡安全事件應急響應、安全產(chǎn)品測試、邊界論證等一系列問題始終無法落實在真實工控網(wǎng)絡。工業(yè)靶場的出現(xiàn)，有效解決了無法在真實環(huán)境中對復雜大規(guī)模異構(gòu)網(wǎng)絡和用戶進行逼真的模擬和測試，以及風險評估等問題，實現(xiàn)工業(yè)信息安全能力的整體提升。

2.2    工業(yè)網(wǎng)絡靶場價值

用戶可依托工業(yè)網(wǎng)絡靶場完成網(wǎng)絡空間工業(yè)網(wǎng)絡體系規(guī)劃論證、能力測試評估、產(chǎn)品研發(fā)試驗、產(chǎn)品安全性測試、人員技能培訓、安全攻防演練等任務。如：針對各行業(yè)工業(yè)控制系統(tǒng)應用開展攻擊影響驗證、漏洞挖掘、風險分析、安全防護驗證，可有效減少工控設備漏洞暴露數(shù)量，提高行業(yè)安全防護水平，可極大程度降低安全事件發(fā)生概率。同時，依托于工業(yè)網(wǎng)絡靶場開展人員技能培訓和演練，可提高安全人員安全防護能力、完善自身應急響應機制；通過安全防護策略的測試驗證，可有效提升全網(wǎng)安全防護設備利用率，為行業(yè)節(jié)約上千萬規(guī)模的安全防護成本?？蓮V泛應用于高校、企業(yè)（包括電力、鋼鐵、有色、石油、化工、軍工等）、科研院/所等。

三     工業(yè)網(wǎng)絡勒索攻擊復現(xiàn)

應急演練主打一個“真實”，越真實的演練，應急效果越好。針對勒索病毒的攻擊途徑和特點，烽臺科技利用工業(yè)網(wǎng)絡靶場技術的仿真能力，為制造業(yè)用戶真實復現(xiàn)工控網(wǎng)絡基礎環(huán)境、工藝生產(chǎn)場景和勒索病毒感染路徑。

3.1     感染病毒環(huán)境設計

3.1.1    基礎環(huán)境和工藝設計

工控網(wǎng)絡層次模型從上到下共分為5個層級，依次為企業(yè)管理層、生產(chǎn)執(zhí)行層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設備層，不同層級的實時性要求不同。此次仿真根據(jù)汽車制造業(yè)的網(wǎng)絡拓撲、生產(chǎn)工藝、數(shù)據(jù)采集等業(yè)務進行高度模擬真實現(xiàn)場生產(chǎn)環(huán)境。工業(yè)網(wǎng)絡靶場環(huán)境各個區(qū)域設備組成如下：

公網(wǎng)區(qū)域：使用靶場環(huán)境仿真公網(wǎng)，攻擊者使用模擬公網(wǎng)IP。

安全設備區(qū)：由防火墻、蜜罐、監(jiān)測等系統(tǒng)組成。

企業(yè)管理層：搭建財務、人事等系統(tǒng)。

生產(chǎn)執(zhí)行層：搭建倉儲管理、計劃排產(chǎn)等系統(tǒng)。

過程監(jiān)控層：搭建汽車制造業(yè)沖壓工藝、焊接工藝、涂裝工藝、總裝工藝、工程師站或操作員站。

現(xiàn)場控制層：搭建仿真西門子300控制器對沖壓工藝、焊接工藝、涂裝工藝、總裝工藝程序?？刂茖訑?shù)據(jù)可傳送至過程監(jiān)控層操作員站或工程師站。

環(huán)境仿真設備如下圖：

工藝流程說明：該環(huán)境工藝根據(jù)汽車制造業(yè)四大關鍵工藝設計，依次是沖壓工藝、焊接工藝、涂裝工藝、總裝工藝。經(jīng)過這四道工藝流程，汽車制造就完成了，下面是四道工藝的具體流程。

第一步：沖壓工藝，用不同型號的鋼板沖壓出車身的零部件，把整卷鋼板裁剪成不同零件制造。這是一道基礎的工序，是后續(xù)工序的前期準備。

第二步：焊接工藝，將各種車身沖壓部件通過焊接工藝使之結(jié)合在一起。隨著自動化的提升，很多汽車制造業(yè)會有大量的機器人進行激光焊接，不僅提高了工作效率，質(zhì)量也得到了保障，車身每一處焊接完成后，需要人工仔細檢查焊接情況，確保車身部件焊接牢度，這樣才能進入下一步驟。

第三步：涂裝工藝，給車身噴涂上各種顏色，防止車身銹蝕，使車身具有靚麗外表。焊接組裝完成的車身，要進行防銹處理，無車身缺陷后再由機器人進行涂裝作業(yè)，機器人涂裝可以減少材料的浪費，提升涂裝效率。

第四步：總裝工藝，需要將車身、底盤和內(nèi)飾等各個部分零件組裝到一起，形成一臺完整的汽車。在這里要進行車身底盤、發(fā)動機、變速箱以及其他內(nèi)飾配件的安裝，這是汽車制造的主要工序。汽車總裝工藝，決定了汽車的裝配質(zhì)量。

下方圖例展示了工業(yè)網(wǎng)絡靶場環(huán)境中的一個工藝環(huán)節(jié)組態(tài)畫面。畫面中顯示了現(xiàn)場控制器、機器臂、報警等狀態(tài)，機器臂實時畫面，車輛完成數(shù)量統(tǒng)計等。

3.1.2    勒索病毒感染路徑設計

此次勒索病毒攻擊是模擬企業(yè)內(nèi)部人員將存在web漏洞的人事辦公系統(tǒng)映射外網(wǎng)提供遠程辦公，由于企業(yè)每天面臨外網(wǎng)攻擊次數(shù)多，使外網(wǎng)的攻擊者探測到人事辦公系統(tǒng)的web漏洞，利用任意文件上傳拿下web shell進行勒索病毒加密文件操作。

此次勒索攻擊復現(xiàn)為了使企業(yè)環(huán)境和攻擊環(huán)境高度仿真，均使用靶場模擬外網(wǎng)地址。并非真實公網(wǎng)地址。

以下是勒索病毒感染路線圖（紅色代表攻擊路線）：

攻擊步驟如下：

(1)    探測目標資產(chǎn)

確認目標資產(chǎn)虛擬公網(wǎng)ip為：1.1.1.1（注釋：靶場虛擬ip），nmap掃描端口發(fā)現(xiàn)存在http等服務。

(2)    確認資產(chǎn)

訪問8080端口發(fā)現(xiàn)，資產(chǎn)為某汽車人事辦公oa系統(tǒng)。

(3)    確認資產(chǎn)版本等漏洞相關信息

獲取版本信息，該版本某汽車人事辦公oa系統(tǒng)存在歷史漏洞。通過手工驗證發(fā)現(xiàn)存在action_upload.php 文件過濾不足且無后臺權(quán)限，導致任意文件上傳漏洞。

(4)    編寫漏洞利用腳本，實現(xiàn)一鍵上傳shell。

./TDOA2017-benhinder http://1.1.1.1:8080執(zhí)行腳本成功，訪問webshell路徑驗證。

(5)    上線Behinder（冰蝎）

啟動冰蝎 java -jar Behinder.jar

webshell地址：http://1.1.1.1:8080/behinder.php （注釋：靶場虛擬ip）。

密碼：rebeyond

進入系統(tǒng)，命令執(zhí)行，內(nèi)網(wǎng)ip為 192.168.10.4（注釋：靶場虛擬ip）。

(6)    上傳病毒

將勒索病毒上傳至目標主機并運行。

3.2    靶場環(huán)境搭建介紹

（1）    網(wǎng)絡結(jié)構(gòu)介紹

汽車制造業(yè)網(wǎng)絡中主要分為公網(wǎng)、安全設備區(qū)、企業(yè)管理層、生產(chǎn)執(zhí)行層、過程監(jiān)控層、現(xiàn)場控制層、現(xiàn)場設備層，各層次網(wǎng)絡依次連接。其網(wǎng)絡邊界隔離定義為公網(wǎng)和企業(yè)管理層由防火墻進行邏輯隔離、現(xiàn)場過程監(jiān)控層和生產(chǎn)執(zhí)行層通過實時數(shù)據(jù)庫或數(shù)采網(wǎng)關隔離。多數(shù)企業(yè)現(xiàn)場信息側(cè)和生產(chǎn)側(cè)邊界無安全設備，內(nèi)網(wǎng)存在攻擊風險。網(wǎng)絡結(jié)構(gòu)如下圖：

（2）    仿真虛擬組件介紹

靶場對汽車制造業(yè)的業(yè)務層設備進行仿真搭建，仿真現(xiàn)場工藝控制器并編寫程序，通過仿真現(xiàn)場工程師站及操作員站控制與監(jiān)視仿真控制器程序。

數(shù)據(jù)通過實時數(shù)據(jù)庫工控側(cè)進行采集，信息側(cè)將數(shù)據(jù)轉(zhuǎn)發(fā) 生產(chǎn)執(zhí)行層系統(tǒng)。

（3）    勒索病毒場景設計

攻擊者利用防火墻端口映射企業(yè)管理層系統(tǒng)進行攻擊。以仿真不同業(yè)務層設備，搭建環(huán)境多維度高度仿真。對此次企業(yè)勒索病毒模擬攻擊事件，利用安全設備、主機日志等開展應急響應、恢復等一系列措施。

業(yè)務仿真按照汽車制造業(yè)的主要網(wǎng)絡架構(gòu)、生產(chǎn)工藝、數(shù)據(jù)采集，采用虛擬組件方式進行搭建，仿真汽車環(huán)境的業(yè)務流程控制系統(tǒng)，根據(jù)實際生產(chǎn)工藝劃分不同工藝終端系統(tǒng)和控制系統(tǒng)。

四     仿真環(huán)境內(nèi)勒索攻擊應急響應

工業(yè)網(wǎng)絡靶場的仿真環(huán)境內(nèi)嵌完整的應急響應步驟，制造業(yè)企業(yè)可根據(jù)現(xiàn)場攻擊者勒索的主機，進行應急響應步驟，通過辦公人員發(fā)現(xiàn)主機勒索病毒彈框通知信息安全人員，信息安全人員對被勒索主機網(wǎng)絡隔離、病毒分析、阻止擴散、殺毒、解密、加固等應急響應。

此次勒索攻擊復現(xiàn)為了使企業(yè)環(huán)境和攻擊環(huán)境高度仿真，均使用靶場模擬外網(wǎng)地址，并非真實公網(wǎng)地址。

紅色代表攻擊路線、藍色代表應急路線，如下圖所示:

4.1    應急響應步驟

4.1.1    主機日志排查

系統(tǒng)感染勒索病毒，界面彈出勒索信件，此時系統(tǒng)內(nèi)的文件已經(jīng)被病毒加密無法正常訪問。要求受害者支付贖金才能解密文件并恢復訪問權(quán)限。

為判斷此次攻擊事件始末以及后續(xù)處置的分析溯源，通過對主機端口連接情況進行分析和溯源，獲得更多關于攻擊事件的信息，并為進一步的調(diào)查和處置提供指導?？沙醪脚挪榭梢蒊P。（注釋：12.12.12.3靶場虛擬    IP）。

4.1.2    禁用網(wǎng)卡

為了降低勒索事件的損失并限制病毒的進一步傳播，禁用受攻擊主機的網(wǎng)卡以實現(xiàn)斷網(wǎng)處理。這將阻止病毒繼續(xù)擴散至內(nèi)網(wǎng)中的其他主機，并防止事件對公司業(yè)務的正常運行產(chǎn)生更大的影響。此外，斷網(wǎng)處理還有助于阻斷攻擊者與受感染主機之間的連接。

4.1.3    病毒分析

根據(jù)勒索病毒加密文件的后綴和勒索信件的內(nèi)容進行判斷，經(jīng)過謹慎縝密地分析，確認該勒索病毒屬于WannaCry家族勒索病毒。該病毒通過網(wǎng)絡傳播和感染計算機，然后加密受害者的文件，并要求支付贖金以獲取解密密鑰。

4.1.4    排查內(nèi)網(wǎng)主機

逐一排查內(nèi)網(wǎng)內(nèi)其他主機的運行狀態(tài)，判斷是否被病毒擴散傳染，由于此次應急響應迅速，病毒并未繼續(xù)擴散，內(nèi)網(wǎng)其他主機仍處于安全狀態(tài)。

4.1.5    安全設備排查

查看安全設備日志對此次攻擊事件進行溯源分析，通過燈塔安全威脅誘捕審計系統(tǒng)捕獲到攻擊者畫像，系統(tǒng)分析此次攻擊疑似境外黑客所為。（注釋：12.12.12.3靶場虛擬IP）。

通過對主機系統(tǒng)日志件和安全設備日志事件的對比，可以排查攻擊者。（注釋：12.12.12.3靶場虛擬IP）。

捕獲到該攻擊IP曾嘗試通過3389端口遠程連接公網(wǎng)地址，因此該IP最有可能為此次攻擊事件的攻擊者。（注釋：12.12.12.3靶場虛擬ip）。

4.2    數(shù)據(jù)恢復

4.2.1    病毒查殺

導入安全殺毒軟件的離線包，對感染主機進行殺毒，通過對系統(tǒng)磁盤進行掃描檢測發(fā)現(xiàn)主機所中病毒并將其查殺。

4.2.2    文件恢復

雖然通過殺毒軟件查殺了系統(tǒng)中的勒索病毒程序，但并沒能恢復被病毒所加密的文件，因此需要導入文件恢復工具離線包來嘗試恢復這些文件。

文件恢復工具的成功率通常取決于多個因素，包括病毒的加密強度、加密算法的復雜性以及文件本身的完整性，因此并不能完全依賴文件恢復工具恢復所有損失。通過對比可以發(fā)現(xiàn)，只有部分被加密的文件能夠成功恢復，受害主機中仍有大量文件未得到恢復。

4.2.3    數(shù)據(jù)備份恢復

鑒于文件恢復工具無法完全恢復本次勒索病毒事件所造成的影響和破壞，需要采取數(shù)據(jù)備份方法來還原系統(tǒng)。利用備份的數(shù)據(jù)可將系統(tǒng)還原至病毒入侵前最近一次狀態(tài)，消除勒索攻擊的影響，并將系統(tǒng)恢復到可信的狀態(tài)。

4.3    場景加固

4.3.1    安全設備加固

通過安全產(chǎn)品對整個內(nèi)網(wǎng)環(huán)境進行加固，如制定防火墻策略可提高工控網(wǎng)絡的防御能力。停止人事系統(tǒng)暴露公網(wǎng)端口映射后,可進行產(chǎn)品漏洞修復。（注釋：1.1.1.1靶場虛擬IP）。

禁止內(nèi)外網(wǎng)IP ping防火墻。啟用內(nèi)網(wǎng)DOS攻擊防御。

4.3.2    恢復備份，安裝殺毒軟件

在加固內(nèi)網(wǎng)環(huán)境并加強防火墻策略后，再次利用安全殺毒軟件對受攻擊的主機進行快速病毒掃描，以確保徹底消除勒索攻擊安全隱患。

五     靶場模擬勒索病毒事件應急響應總結(jié)

經(jīng)過在工業(yè)網(wǎng)絡靶場中的勒索病毒攻擊演練，制造業(yè)用戶可對此類型應急響應事件進行總結(jié)，制定適合的應急處置流程、技術規(guī)范、管理規(guī)范，最大化降低勒索攻擊對企業(yè)的損害。

5.1    勒索病毒基本情況

病毒家族：WannaCry ，勒索病毒變種：WannaCry 2.0，WannaCry（又叫Wanna Decryptor），一種“蠕蟲式”勒索病毒軟件。該勒索病毒在2017年襲擊了全球150多個國家和地區(qū)，影響了包括政府部門、醫(yī)療服務、公共交通、郵政、通信和汽車制造業(yè)等領域，對社會發(fā)展造成惡劣影響。

本次勒索病毒攻擊者利用了產(chǎn)品web應用漏洞，入侵用戶內(nèi)部網(wǎng)絡，投放勒索病毒程序，加密系統(tǒng)文件進行勒索。

病毒后綴名：.WNCRY

5.2    靶場內(nèi)的勒索病毒應急處置

當靶場環(huán)境機器感染勒索病毒后，立即開展以下應急工作：

（1）    隔離網(wǎng)絡：該場景使用禁用網(wǎng)絡方式切斷受感染機器的網(wǎng)絡連接，避免網(wǎng)絡內(nèi)其他機器被進一步感染滲透。

（2）    加密情況：該場景發(fā)現(xiàn)文件已經(jīng)全部被加密，可保持機器開機狀態(tài)，等待繼續(xù)排查。如重要文件未被加密，可選擇關閉勒索病毒進程或關機。

（3）    病毒范圍：排查該場景其他可能會受到勒索病毒影響的機器，確定勒索病毒傳播范圍。

（4）    問題排查：通過主機端口連接查找攻擊來源。通過安全設備進行攻擊溯源工作。

（5）    專業(yè)恢復：使用勒索病毒文件解密工具嘗試解密，無法解密時需使用數(shù)據(jù)備份恢復系統(tǒng)。

（6）    安全加固：通過安全設備和主機日志排查出攻擊來源，加固防火墻策略配置。安裝殺毒軟件實時監(jiān)測主機安全狀態(tài)，防止攻擊者再次勒索。

（7）    產(chǎn)品升級：可將系統(tǒng)進行升級，防止攻擊者利用web應用漏洞。

5.3    勒索病毒防范

5.3.1    技術防范

(1)    數(shù)據(jù)備份

重要文件或者重要系統(tǒng)需采用移動硬盤等方式進行定期備份數(shù)據(jù)，避免主機被勒索病毒攻擊，導致文件加密無法恢復的情況出現(xiàn)。

(2)    終端防護

關閉主機的 445、135、139、3389 等高危端口，可避免勒索病毒針對高危端口漏洞攻擊和企業(yè)內(nèi)網(wǎng)中的橫向傳播。

針對通過 RDP 服務和弱口令破解進行入侵和擴散的勒索病毒，建議企業(yè)對設備操作系統(tǒng)口令進行定期檢查修改，增強口令長度檢查、復雜度檢查，避免使用統(tǒng)一而簡單的登錄密碼。

對創(chuàng)建賬戶、刪除賬戶、鎖定、禁用等相關高權(quán)限行為進行管控。

禁用設備移動接口。

修復應用漏洞相關補丁。

(3)    郵件防護

企業(yè)內(nèi)部員工不點擊陌生人發(fā)來的各種鏈接，不要打開陌生人發(fā)來的附件。及時更新系統(tǒng)補丁及防病毒軟件的病毒定義包。

(4)    安全設備防護

上網(wǎng)行為審計系統(tǒng)：企業(yè)出于合規(guī)、審計等原因，基本都會部署上網(wǎng)行為審計系統(tǒng)，策略上需配置屏蔽可能含有勒索病毒網(wǎng)站。

防火墻：針對企業(yè)業(yè)務進行訪問控制。

入侵防御：使用入侵防御設備對URL過濾、惡意軟件過濾等，需結(jié)合沙箱、情報技術等方法分析處理。

主機衛(wèi)士：企業(yè)終端安裝主機防護軟件，對勒索病毒、木馬及時查殺。

態(tài)勢感知：使用態(tài)勢感知實時監(jiān)測企業(yè)網(wǎng)絡安全狀態(tài)。

5.3.2    管理防范

（1）    制定并落實網(wǎng)絡安全管理制度。

在管理制度上，需要從驗證信息、訪問控制、資產(chǎn)梳理、終端防護等幾個方面?zhèn)戎毓芾?。企業(yè)工業(yè)控制系統(tǒng)在向外連接時，可通過入網(wǎng)的設備驗證、人員驗證，確保準確性及唯一性，加強工業(yè)控制系統(tǒng)業(yè)務訪問控制權(quán)限管理，關閉高危端口、定期查看補丁、不私自接通外網(wǎng)，有效保障入網(wǎng)設備的合法性，防止勒索病毒在企業(yè)內(nèi)網(wǎng)擴散。對聯(lián)網(wǎng)的工業(yè)控制設備進行梳理，建立資產(chǎn)庫，加強企業(yè)邊緣資產(chǎn)監(jiān)管，達到削減工業(yè)控制系統(tǒng)網(wǎng)絡資產(chǎn)暴露面的目的。

（2）    定期檢查工業(yè)控制系統(tǒng)漏洞。

在檢查工業(yè)控制系統(tǒng)上，需要從供應鏈、軟件、硬件等采購上管理把控。要將定期掃描漏洞按照等級劃分，并按照等級修復漏洞。工業(yè)控制系統(tǒng)中使用的操作系統(tǒng)和工業(yè)軟件數(shù)量和版本眾多，存在漏洞個數(shù)多、種類多，使得勒索病毒傳播速度難以把控。攻擊者可以提前將勒索病毒植入企業(yè)的供應鏈上游的軟、硬件供應商的產(chǎn)品中，在安裝或更新軟、硬件時，勒索病毒即被帶入工業(yè)控制系統(tǒng)設備，感染企業(yè)網(wǎng)絡中存在漏洞的系統(tǒng)。針對工業(yè)控制系統(tǒng)，企業(yè)需要加強定期對工業(yè)控制系統(tǒng)終端、網(wǎng)絡設備、服務器、控制器等設備的漏洞掃描。清晰定性網(wǎng)絡安全風險，及時完善系統(tǒng)補丁、修復漏洞，執(zhí)行完整的安全策略，從根源上進行風險預防。

（3）    建立健全應急響應機制。

大部分的勒索攻擊是無征兆的，所以應當加強網(wǎng)絡安全應急預警，建立健全的應急響應機制，利用企業(yè)的網(wǎng)絡安全資源實現(xiàn)安全資源信息共享。同時可與國家相關機構(gòu)和國內(nèi)安全公司進行合作，運用有效資源和應急響應技術手段結(jié)合的方式，共同制定企業(yè)勒索攻擊應急預案。

（4）    加強內(nèi)部員工網(wǎng)絡安全意識。

企業(yè)需要持續(xù)的進行網(wǎng)絡安全培訓，提高內(nèi)部員工網(wǎng)絡安全意識，使其在日常操作過程中能夠有效識別系統(tǒng)漏洞攻擊、垃圾郵件攻擊等惡意行為，認識其危害并掌握一些必要的應對防范措施。

在組織建設方面，鼓勵企業(yè)成立網(wǎng)絡安全事件響應小組，通過專職小組有組織、系統(tǒng)性地監(jiān)視業(yè)務系統(tǒng)的安全性，及時接收網(wǎng)絡中的異常通知報告，一旦出現(xiàn)異常情況，響應小組可以及時采取應急措施對勒索攻擊進行范圍控制，最大化降低其對企業(yè)的影響程度。

勒索病毒不是普通的“感冒”，工業(yè)企業(yè)應防患于未然，數(shù)據(jù)提前備份、人員提前演練、體系提前建立，多維度共同防護，才是抵御勒索攻擊的長久之計。

最后，關于勒索病毒的應急響應資源有很多，烽臺科技為大家找到了幾個靠譜的鏈接，希望能幫更多工業(yè)企業(yè)有效應對勒索病毒攻擊，減少企業(yè)財產(chǎn)損失，建立良好的經(jīng)營環(huán)境。

六     勒索病毒應急響應資源鏈接

6.1    國內(nèi)資源鏈接

6.1.1    火絨安全軟件5.0（個人版）

火絨是一款殺防管控一體的安全軟件，有著面向個人和企業(yè)的產(chǎn)品。擁有簡潔的界面、豐富的功能和良好的體驗。特別針對國內(nèi)安全趨勢，自主研發(fā)高性能反病毒引擎。

主要特點

（1）    無任何廣告推送

（2）    一鍵掃描、查殺病毒，基于“通用脫殼”、“行為沙盒”的本地反病毒引擎，不受斷網(wǎng)影響。

（3）    19個重要防護功能，有效防病毒、木馬、流氓軟件、惡意網(wǎng)站等。

傳送門：www.huorong.cn

6.1.2    奇安信勒索病毒工具集下載

奇安信科技集團股份有限公司成立于2014年，專注于網(wǎng)絡空間安全市場，向政府、企業(yè)用戶提供新一代企業(yè)級網(wǎng)絡安全產(chǎn)品和服務。

主要特點

（1）    針對勒索病毒專殺

（2）    針對永恒之藍病毒端口關閉

（3）    針對蠕蟲勒索病毒文件恢復

（4）    蠕蟲勒索工具種類多

傳送門：https://www.qianxin.com/other/qaxvirusremoval

6.1.3    勒索病毒搜索引擎合集

【360】 勒索病毒搜索引擎，支持檢索超過800種常見勒索病毒

傳送門：https://lesuobingdu.#/

【騰訊】 勒索病毒搜索引擎，支持檢索超過 300 種常見勒索病毒

傳送門：https://guanjia.qq.com/pr/ls/

【啟明星辰】VenusEye勒索病毒搜索引擎，超300種勒索病毒家族

傳送門：https://lesuo.venuseye.com.cn/

【奇安信】勒索病毒搜索引擎

傳送門：https://lesuobingdu.qianxin.com/

6.1.4    勒索病毒解密合集

【騰訊哈勃】勒索軟件專殺工具

傳送門：https://habo.qq.com/tool/index

【金山毒霸】勒索病毒免疫工具

傳送門：http://www.duba.net/dbt/wannacry.html

【瑞星】解密工具下載

傳送門：http://it.rising.com.cn/fanglesuo/index.html

6.2    國外資源鏈接

6.2.1    卡巴斯基

卡巴斯基反病毒軟件是世界上擁有最尖端科技的殺毒軟件之一，總部設在俄羅斯首都莫斯科，是國際著名的信息安全領導廠商之一。公司為個人用戶、企業(yè)網(wǎng)絡提供反病毒、防黑客和反垃圾郵件產(chǎn)品。

主要特點：

（1）    使用便捷。

（2）    多層級防御系統(tǒng)，保護電腦免受其他威脅。

（3）    殺毒功能非常強大，能夠檢測各種惡意軟件和網(wǎng)絡攻擊。

（4）    智能更新安防庫和軟件程序。

傳送門：https://www.kaspersky.com.cn/

6.2.2    No More Ransomware Project

該軟件主要目標是保護用戶免受勒索軟件攻擊，有勒索病毒密鑰庫，有效解除不同類型被加密文件。

主要特點：

（1）    有關于勒索病毒加密文件的詳細說明

（2）    定期更新勒索病毒密鑰庫

（3）    提供超過25種不同語言的服務

傳送門：https://www.nomoreransom.org/zh/decryption-tools.html#Bianlian

參考文獻

[1]崔瑩瑩,原真,劉健帥.工業(yè)領域勒索攻擊事件態(tài)勢分析及應對方法探討[J].工業(yè)信息安全,2022(10):63-68.

[2]薛丹丹,王媛媛,卲一瀟等.勒索病毒的原理及防御措施[J].網(wǎng)絡安全技術與應用,2023(02):10-12.

[3]國家工信安全發(fā)展研究中心發(fā)布，2022年工業(yè)信息安全態(tài)勢報告[EB/OL].[2023-2-14]. http://www.cics-cert.org.cn/.

[4]中國信息通信研究院，勒索病毒安全防護手冊[EB/OL].[2021-9]. http://www.caict.ac.cn/.