关于勒索病毒的应急演练

责任编辑：赵志远 投稿信箱：netadmin@365master.com

信息安全Security关于勒索病毒的应急演练■ 江苏 朱贤斌

从20世界60年代开始，恶意软件就与信息技术的发展相生相伴。随着科技的不断进步，恶意软件本身也在不断演变，从蠕虫病毒、广告软件、流氓软件、木马软件，乃至今天的勒索软件，恶意软件制作者已从最初的技术炫耀变成了如今直接的利益所取。例如2017年的Wannacry勒索病毒，对受害企业重要数据造成严重损失。网络黑客使用的系列勒索手段包括：频繁创建虚假网站，吸引潜在勒索对象游览；借助网站内钓鱼软件，扫描用户电脑操作系统及游览器所含安全漏洞；向用户电脑内输送勒索软件，继而锁死电脑或加密数据，要求用户支付“赎金”，以换取解除锁定的“密钥”。还原勒索病毒入侵，以及发生勒索病毒安全事件后，迅速的应急响应和应急处置，通过应急演练，来提高我们的网络安全意识和技能。图1 演练网络拓扑图

编者按： 近年来勒索病毒盛行，给个人和企业造成了无（SMB）和3389这可挽回的损失，本文从实战出发，以实例进行勒索病毒的（RDP）端口，些端口属于易被攻击的端口。2.利用Nmap自带的漏洞检测脚本对445端口进行扫描,结果显示存在高危漏洞，漏洞编号MS17-010。3.该漏洞极易被利用进行远程控制，使用远程桌面登录受控电脑，上传勒索病毒（详细过程省略）。4.本次使用的勒索病毒为GANDCRAB V5.0.4，运行之后将文件加密，文件被添应急演练，并给出相关防护建议。演练环境笔者此次使用VMware Workstation搭建两台虚拟机，模拟攻击者和被攻击者，攻击者使用Kali-Linux系统，被攻击者使用Windows 7系统。拓扑如图1所示。 加.yqqhahnck后缀，无法正常打开，受控端桌面被替换成勒索信息，并留下索要赎金的.txt文件。应急响应流程根据相关技术标准，信息安全事件应急响应工作流程主要有预防预警、事件报告与先期处置、应急处置、应急结束和后期处置。应急响应工作流程如图2所示。1. 事件报告与先期处置勒索病毒攻击1.攻击者首先使用Nmap演练目的为了让用户认识到勒索病毒的危害，所以很有必要端口扫描工具对被攻击者进行端口扫描和漏洞检测。经过扫描，此台虚机开启了445www.365master.com 2019.06127