某大型金融企業勒索病毒攻擊事件應急響應

全球範圍內勒索病毒攻擊事件層出不窮,對各企業造成不同程度的影響,尤其是金融領域以及具有關鍵基礎設施的企業尤為突出。

近期信飛負責處理了一起大型勒索病毒攻擊事件。 3月初信飛接到應急響應服務需求,某大型金融企業遭受勒索病毒攻擊,IT資產被加密,企業日常運作以及業務開展等方面受到嚴重影響。 信飛在接到需求後第一時間展開緊急處理,48小時內緊急恢復數據,並保障客戶業務正常運作。 經過信飛20多天的全程負責與日夜攻堅,通過有序有效的應急處理方法,企業最終恢復正常。 信飛在企業恢複業務後緊急進行相關溯源以及安全加固,防止企業被二次感染勒索。 在此期間,信飛通過以下方式讓企業順利解決勒索病毒攻擊事件:

1.實施應急響應服務,對網絡結構調研,安全日誌採集,進行事件分析、事件協調與響應、取證與處置,惡意軟件及感染分析及天擎,天眼配置調優;

2.網絡技術支撐,網絡諮詢,調試策略對安全域間配置訪問控制,進行桌面終端維護,操作系統安裝,數據備份;

3. 數據恢復後對資產安全性和對漏洞、病毒的持續監控和現場安全應急值守。

某企業勒索病毒傳播路線圖

企業在中了勒索病毒之後,應該如何處理? 下面介紹可採取的緊急有效的處置方法:

1. 首先通過物理隔離受感染主機設備,最簡單方法既是斷開網線。 根據網絡拓撲以及確認受影響範圍,對不同網絡區域進行必要的網絡隔離,防止病毒再次橫向感染,造成更大的損失;

2. 檢查數據備份系統的可用性,確保核心業務能夠第一時間對接,若無數據備份可嘗試通過磁盤數據恢復手段,恢復被刪除的文件或者嘗試查找相應的解密工具;

3. 收集樣本和勒索信息,判斷是受哪個勒索病毒家族感染的,是否存在存在解密可能,目前有少部分勒索病毒可能被解密,實際上大部分流行的勒索病毒沒有相關解密工具。 如此次處理的病毒:根據勒索信以及樣本分析判斷為Zeppelin家族,暫無第三方解密方法;當然也可通過勒索病毒信息查詢網站https://id-ransomware.malwarehunterteam.com/,該網站可檢測1000多種勒索軟件信息;

勒索信(已隱藏勒索郵箱和網站)

上傳樣本到網站查看勒索家族

4. 溯源分析,收集分析被勒索病毒感染的主機日誌和查看可疑文件進而分析被感染的可能途徑,如通過安全漏洞,弱口令,點擊釣魚郵件,網站掛馬,U盤等移動介質等途徑。 為接下來的安全加固做好準備;

5. 安全加固建議:對備份數據進行恢復後,針對企業現網進一步做好安全評估工作,做好事前安全加固建設以及更新應急預案。 真正做到事前風險發現和加固,事中動態防禦監測和快速處置,事後快速定位攻擊來源和總結溯源。

勒索病毒對現實世界威脅加劇,已成為全球廣泛關注的網絡安全難題。 在消除勒索病毒攻擊影響的情況下,企業應開展網絡安全隱患排查和修補,加強防範。 信飛公司也會在實踐中不斷積累經驗,增強自身實力,更好的幫助企業渡過安全難關,維護企業資產安全。

深圳市信飛合創科技有限公司

2022年4月