幾個進行 Ransomware Incident Response 的重點

Ransomware 算是相當常見的攻擊方式，自從永恒之藍漏洞被利用後廣泛被大家得知。

傳播方式

通常可能的傳播方式：

1. 通過社交工程，釣魚郵件誘導受害者下載檔案後執行並傳播
2. 利用主機上RCR漏洞來進行傳播
3. 利用主機上Web或第三方套件漏洞來進行傳播
4. 利用弱密碼登入主機進行傳播

感染 Ransomware 的特點

如果感染Ransomware 會有以下兩個明顯特點。

• 各類檔案出現可疑的副檔名
• 會有明顯的提示要求付贖金

Ransomware IR 目的

• 並不建議支付贖金，這會讓駭客認為此方法有效，開啟其他攻擊
• 同時支付贖金不一定能讓檔案
• 找到入侵的原因，找到漏洞，進行修補(一般來說在重要資料有保存的前題下進行重灌）

發現被感染時的處理要點

1. 不能關機！不能關機！不能關機！
2. 為了防止持續傳播，可以受駭主機網路線拔除
3. 可利用副檔名找是否有解密工具
4. 在沒有100%保證可解密下，別自己解
5. 依尋公司政策處理

針對 Ransomware 的預防

1. 針對重要檔案進行備份
2. 限制445、3389埠連線行為(此為目前常見的傳播行為)
3. 定期進行更新

Incident Response 範例

• http://blog.nsfocus.net/emergency-response-case-study/
• https://blog.csdn.net/qq_27446553/article/details/81102198
  http://vinc.top/2017/05/03/windows%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%EF%BC%8820170503%EF%BC%89/
• https://mp.weixin.qq.com/s?src=11×tamp=1533106387&ver=1033&signature=8P_AjLzeMd_GnPg0SwF4o6I06Sx804FDLw6PUkEch4h8eCCyQEr8A9hbHaIHPrqR-WiIdoJPqMsmSVic4-gs*sd3j613UabGbt6z9mQT6p5fWutdawPYrht-VlixmLLS&new=1
• https://mp.weixin.qq.com/s?src=11×tamp=1533106458&ver=1033&signature=8P_AjLzeMd_GnPg0SwF4o6I06Sx804FDLw6PUkEch4hJcF-gDfZJVqz2bzHZt6fF_EmCrKm_DXOl3CMpdqrFZwBPOuAKr1TQcF7qG2x72YvsE8D1nglxXyYenvA2HLqY&new=1