勒索病毒怎么破

記錄兩次客戶中勒索病毒恢復的情況。 2020年5月在公眾號‘成文數(shù)科’寫的文章，現(xiàn)在安全事故愈發(fā)頻繁。故重新貼到CSDN來

勒索病毒的前世今生

2017年4月14日晚，黑客團體Shadow Brokers公布“永恒之藍”工具，該工具可利用Windows系統(tǒng)的共享文件服務漏洞獲取系統(tǒng)最高權(quán)限。不久后，不法分子通過改造“永恒之藍”制作了wannacry勒索病毒，英國、俄羅斯等歐洲國家以及中國國內(nèi)多個高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機構(gòu)專網(wǎng)中招，被勒索支付高額贖金才能解密恢復文件。
此后，wannacry和各種變種的勒索病毒肆虐全球

想必中過招的朋友對下圖非常熟悉

勒索病毒為什么可怕

我們作為軟件服務商，在2017年開始已經(jīng)碰到非常多起勒索病毒的事件，很多客戶由此造成數(shù)據(jù)丟失，系統(tǒng)停運等各種問題帶來的損失無法估量，勒索者通常索取BTC(一種基于區(qū)塊鏈技術(shù)的電子貨幣),由于BTC匿名的特點，報案也是無法追溯到作者的。所以我們也剖析了一些勒索病毒原理：

首先攻擊者獲得權(quán)限后，通常采用給快速的對稱加密算法對文件加密后，使用非對稱加密將密鑰進行加密，常用的加密算法RSA、Elgamal等

加密算法和BTC這里不詳細說，感興趣的朋友可以搜索一下相關(guān)信息詳細了解，總之采用這種加密勒索BTC，以目前計算機的算力不通過私鑰解密是不太可能的，也無法通過合法途徑報案追溯犯罪者。

我們在17-19年中碰到的勒索病毒案例中發(fā)現(xiàn)，勒索病毒為了快速的對系統(tǒng)中所有數(shù)據(jù)文件的加密，通常對大文件僅加密頭部信息通過破壞文件完整性的方式，這種情況下，對數(shù)據(jù)庫實體文件來說是可以通過數(shù)據(jù)庫修復工具進行非加密部分數(shù)據(jù)的提取從而進行修復。

但在最近我們接到的3起勒索病毒事件請求中，不管多大的數(shù)據(jù)庫文件都被全部加密了，剖析了部分勒索病毒源碼發(fā)現(xiàn)新的勒索病毒變種幾乎都改變了加密機制，變成先快速全盤數(shù)據(jù)文件加密后，對沒有100%加密的文件定時進行逐步加密到100%，也就是如果是在中招后，如果在100%加密之前沒有發(fā)現(xiàn)和清除病毒，想要恢復文件就只有找作者交贖金這一條風險很高的路可走，這也是我們寫這篇文章的原因，希望大家能事先做好防護，事后補救可能為時已晚

恢復實例

1.通過數(shù)據(jù)庫修復某藥企用友U8財務系統(tǒng)數(shù)據(jù)庫

在收到客戶反饋后，我們對比了一下有備份的文件和被加密文件，發(fā)現(xiàn)這種只是頭部數(shù)據(jù)加密破壞了數(shù)據(jù)的完整性，所以重裝軟件也無法附加被破壞的數(shù)據(jù)庫實體文件，如下圖

接下來我們通過數(shù)據(jù)庫修復工具，讀取加密的數(shù)據(jù)庫實體文件中的表和數(shù)據(jù)，可以把正式環(huán)境數(shù)據(jù)恢復98%左右

此時這種情況下，距離完全恢復僅一步之遙，這種情況我們詢問了客戶是否有前一段時間的完整備份，客戶反饋完整可用的備份是一個月前的。于是我們通過把一個月前的正常的數(shù)據(jù)作為對比，兩個庫對U8中相關(guān)的系統(tǒng)參數(shù)表/基礎資料/總賬憑證/固定資產(chǎn)/余額表/輔助賬表等逐一進行排查，最終完全恢復了數(shù)據(jù)，恢復在用友U8中正常使用

2.代向勒索者交贖金獲取密鑰解密（某上市藥企WMS系統(tǒng)數(shù)據(jù)庫）

2020年1月份，臨近春節(jié)假期。一個曾找我們開發(fā)過ERP-WMS接口的客戶信息部來電反饋倉庫系統(tǒng)無法運行，疑似中勒索病毒。經(jīng)遠程驗證后確實中了后綴.chch的CrySiSV2家族勒索病毒。數(shù)據(jù)庫修復工具讀取賬套，數(shù)據(jù)大部分還是可以修復的。

但經(jīng)了解客戶的情況，數(shù)據(jù)庫實體50多G，WMS系統(tǒng)通過數(shù)據(jù)庫的存儲過程和一些配置性xml文件實現(xiàn)的二次開發(fā)，程序文件和數(shù)據(jù)庫均未曾做過任何備份。

基于以上情況，如果數(shù)據(jù)庫和配置文件不能100%修復也沒有意義，系統(tǒng)還是跑不起來。于是跟客戶領導領導溝通后，最終拍板由我們代付BTC贖金，獲取私鑰解密文件

于是我們聯(lián)系了勒索信中的郵箱 aquamen@email.tg，用我小學水平的英語簡單粗暴的問了多少錢，對方馬上有了回復，0.3BTC

0.3BTC大概要多少錢呢，按當天BTC的市值換算了一下，19800，大約兩萬塊

后續(xù)往來了很多郵件，過程也略曲折，最后還價到了0.22BTC成交，為了取得信任，作者讓我們提供了被加密的小文本文件證明他手上有解密私鑰（這步很關(guān)鍵，如果對方有解密的私鑰，一般大概率付費后會提供私鑰），以及先提供了btc地址做了個0.01btc付費的測試。

往來郵件：

最終作者發(fā)過來了解密私鑰程序 ，通過該程序放在加密文件下運行，解密了所有加密文件恢復了系統(tǒng)的運行

可以看到作者來的解密程序，為什么有兩個呢，是因為管理員在沒有清理病毒的情況下，直接改了文件后綴名，從而被加密了兩次，得虧付錢后作者還有耐心多生成了一個ID的解密程序，此次恢復實屬萬幸

所以切記，碰到中勒索病毒情況一定不要自己去處理，可能造成無法恢復的后果。第一時間應該拔掉網(wǎng)線關(guān)機，把硬盤掛載其他系統(tǒng)拷出數(shù)據(jù)，才有最大可能恢復

追溯原因

近幾年我們處理過的勒索病毒的情況，都分析了相關(guān)日志文件進行攻擊溯源，發(fā)現(xiàn)普遍（95%）以上都是運維人員安全意識較薄弱，將RDP服務用默認端口3389和默認超管administrator弱密碼開在外網(wǎng),被掃描后暴力破解進入系統(tǒng)。
以下是我司一臺在阿里云的服務器臨時放開了RDP端口訪問的登錄日志

![sjck.png][13]

可以看出暴露在外網(wǎng)RDP服務無時不刻都有人在掛代理掃描端口，只有中一次密碼則立馬中招

總結(jié)

經(jīng)過多次勒索病毒的處理，簡單總結(jié)了幾點經(jīng)驗，希望對大家有所幫助

1. 備份，備份，備份。重要的事情說三遍，特別是要定期做好離線備份
2. 網(wǎng)絡的分區(qū)分域，讓攻擊限制在局部
3. 服務器盡量使用Linux，性能好安全性高，雖然也有針對Linux的勒索病毒，相對難度會更高
4. RDP遠程桌面不要使用默認端口和默認超管用戶，做好網(wǎng)絡的權(quán)限梳理和基于端口的訪問策略
5. 定期排查日志和用戶管理中記錄是否有可疑情況

只要能做到以上幾點，基本可以杜絕99%的中勒索病毒的可能，但最后還是要說，安全無絕對，勒索病毒這事兒未來一定會越來越多，說了這么多，還是希望大家保持良好的運維習慣，別中勒索，如需要更詳細的自救和防護指南，可長按下方圖片關(guān)注我們，回復‘防勒索’獲取勒索病毒自救和防護指南文章來源地址http://www.zghlxwxcb.cn/news/detail-494009.html

到了這里，關(guān)于勒索病毒頻發(fā)，信息安全事件如何破 --記兩次勒索病毒數(shù)據(jù)恢復實例的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！