tokenpocket官网下载链接|勒索病毒防护措施
什么是勒索软件?如何防御勒索软件? - 华为
什么是勒索软件?如何防御勒索软件? - 华为
本站点使用Cookies,继续浏览表示您同意我们使用Cookies。
Cookies和隐私政策>
技术支持
运营商入口
公告
中文
English
首页
信息速查
IP知识百科
在线课堂
产品智能选型
首页
信息速查
产品智能选型
IP知识百科
中文
English
登录
提示
确定
取消
IP知识百科
IP知识百科
>
勒索软件
什么是勒索软件
勒索软件又称勒索病毒,是一种特殊的恶意软件,又被归类为“阻断访问式攻击”(denial-of-access attack),与其他病毒最大的不同在于攻击手法以及中毒方式。勒索软件的攻击方式是将受害者的电脑锁起来或者系统性地加密受害者硬盘上的文件,以此来达到勒索的目的。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权,或是取回受害者根本无从自行获取的解密密钥以便解密文件。勒索软件一般通过木马病毒的形式传播,将自身掩盖为看似无害的文件,通常假冒普通电子邮件等社会工程学方法欺骗受害者点击链接下载,但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在互联网的电脑间传播。
目录
勒索软件的类型
勒索软件的入侵方式
如何防御勒索软件
如何处置勒索软件
更多
收起
勒索软件的类型
根据勒索软件对受害者系统采取的措施,主要可以分为以下几类:
绑架用户数据使用加密算法(如AES、RSA等)将用户的文件进行加密,用户在没有秘钥的情况下无法操作自己的文件。用户可以访问设备,但是对设备内的数据无法操作。 典型勒索软件有:WannaCry、GlobeImposter、CryptoLocker,TeslaCrypt等。
锁定用户设备不加密用户的文件,但是通过修改一些配置或者系统文件,使得用户无法进入设备。 典型勒索软件有:NotPetya等。
锁定用户设备和绑架数据既加密用户文件,又锁住用户设备。是1和2的结合体。 典型勒索软件有:BadRabbit等。
勒索软件的入侵方式
勒索软件常用的入侵方式如图1所示。
勒索软件的入侵方式
网络共享文件一些小范围传播的敲诈勒索病毒会通过共享文件的方式进行传播,黑客会将病毒上传到网络共享空间、云盘、QQ群、BBS论坛等,以分享的方式发送给特定人群,进而诱骗其下载安装。 此外,不法黑客还常会编造出“杀毒软件会产生误报,运行之前需要退出杀毒软件”之类的理由,诱骗受害者关闭杀毒软件后运行。 典型代表有:暂时主要为国产勒索类病毒通过外挂辅助,“绿色”软件类工具携带。
捆绑传播勒索软件与正常合法软件一起捆绑发布在各大下载网站或者论坛,当用户下载该软件后便会中招。
垃圾邮件这是勒索软件最为广泛的攻击方式。
利用社会工程学方法,发送假冒的电子邮件,将恶意脚本/程序掩盖为普通的文件,欺骗受害者下载、运行。
利用一些僵尸网络,更能增加欺骗的概率。如GameOverZeus僵尸网络,会使用MITB技术窃取银行凭证,通过该僵尸网络来分发钓鱼邮件,受害者非常容易相信。该僵尸网络被CrytoLocker等勒索软件利用来分发钓鱼邮件。
典型代表有:Locky、Cerber、GlobeImposter、CrytoLocker等。
水坑攻击勒索者利用有价值、有权威或访问量较大网站的缺陷植入恶意代码,当受害者访问该网址,或者下载相关文件时便会中招。 典型代表有:Cerber、GandCrab等。
软件供应链传播勒索软件制作者通过入侵软件开发、分发、升级服务等环节,在软件开发过程中,就会在产品组件中混入病毒,通过入侵、劫持软件下载站、升级服务器,当用户正常进行软件安装或升级服务时勒索病毒趁虚而入。这种传播方式利用了用户与软件供应商之间的信任关系,成功绕开了传统安全产品的围追堵截,传播方式上更加隐蔽,危害也更为严重。此前侵袭全球的Petya勒索病毒便是通过劫持Medoc软件更新服务进行传播。 典型代表有:Petya等。
暴力破解(定向攻击)针对服务器、个人用户或特定目标,通过使用弱口令、渗透、漏洞等方式获取相应权限。例如NotPetya会对口令进行暴力破解然后在局域网内传播。 典型代表有:NotPetya、Crysis、GlobeImposter等。
利用已知漏洞攻击利用系统或者第三方软件存在的漏洞实施攻击。例如WannaCry便利用了SMBV1的一组漏洞进行攻击和传播。 典型代表有:WannaCry、Satan等
利用高危端口攻击利用一些端口的业务机制,找到端口的漏洞,进行攻击。如WannaCry利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。常见的高危端口有135、139、445、3389、5800/5900等。建议尽量关闭此类端口。 典型代表有:WannaCry等。
以上几种的组合联合攻击通常来说,勒索软件不会只采取一种方式来进行攻击和传播,通常会是几种的组合。
如何防御勒索软件
阻止勒索软件攻击最有效的办法是防止攻击进入组织内部。
主机侧防护
首先,推荐通过组织级的IT基础设施方案来统一设置主机。通过AD服务器的组策略、企业级杀毒软件的控制中心等,可以保证安全措施执行到位,而不必依赖员工个人的执行力。
其次是针对员工的信息安全教育。很多勒索软件使用电子邮件和社会工程手段,诱使员工下载恶意软件,或访问恶意网址。员工不为所动,就能避免激活携带的攻击媒介。通过信息安全宣传,培训员工养成良好的办公习惯,识别和防范典型的攻击手法,是避免勒索软件攻击的有效手段
以下列出了主要的主机侧防护措施,其中大部分可以通过IT基础设施方案来统一管理。对于没有完善IT系统的小微企业,可以把这些措施转化为信息安全教育的内容,指导员工自行配置。相关措施包括但不局限于:
开启系统防火墙,利用防火墙阻止特定端口的连接,或者禁用特定端口。
升级最新的杀毒软件,或者部署专杀工具。
更新补丁,修复勒索软件所利用的含漏洞软件。
各项登录、鉴权操作的用户名、密码复杂度要符合要求。
设置帐户锁定策略。
阻止宏自动运行,谨慎启用宏。
仅从指定位置下载软件。
不要打开来源不明邮件的附件和链接。
定期做好异地备份,这是系统被感染后数据尽快恢复的最好手段,以勒索软件的套路,即使交付赎金,也不一定保证本地数据会被解密。
在Windows文件夹中设置显示“文件扩展名”,可以更轻易地发现潜在的恶意文件。
详细的主机侧防护措施请参见勒索软件防护指南>主机侧防护。
网络侧防护
防御勒索软件攻击的关键在于预防,即在勒索软件进入组织并造成实质性损坏之前,拦截攻击。 最佳方法是设置以防火墙为基础的多层安全防御体系,避免攻击者突破一层防御之后长驱直入。严格的安全策略是最简单有效的防护手段;仅对外开放必需的服务,封堵高危端口,可以减小暴露面(攻击面)。阻断已知威胁,通常可以使攻击者放弃攻击,否则攻击者就需要创建新的勒索软件,或者利用新的漏洞,其成本必然增加。同时,启用文件过滤,可以限制高风险类型文件进入网络;利用URL过滤阻断恶意网站,可以避免用户无意中下载恶意软件。在安全性要求较高的网络中,还可以部署FireHunter沙箱、HiSec Insight、诱捕系统,全面感知安全态势。
针对勒索软件在网络侧的防护,华为通过如下分层防御体系进行防护:
通过在防护墙上部署严格的安全策略,限制用户对网络和应用的使用。
南北向安全策略:在网络边界处,设置严格的网络访问策略,仅对外开放必需的服务,且仅允许受信任IP地址/用户访问必要的服务。
东西向安全策略:把内部网络按照功能和风险等级划分到不同的安全区域,在不同功能网络间设置严格的安全策略。建议阻断高危端口(包括135、137、138、139、445、3389等)或限制可访问的用户,降低勒索软件横向扩散的可能性。在交换机和路由器等网络设备上,也可以利用流策略封堵高危端口。
通过IPS、AV、URL,发现和阻断已知威胁。
IPS入侵防御:在安全策略中引用IPS配置文件,确保如下暴力破解和漏洞利用签名的动作为阻断。如果签名的缺省动作不是阻断,可以设置例外签名,修改其动作为阻断。
AV反病毒:对于文件传输协议(HTTP、FTP)和共享协议(NFS、SMB),采用缺省动作。对于邮件协议,建议动作设置为宣告或删除附件。防火墙将在邮件中添加提示信息,提醒收件人附件中可能含有病毒。
URL过滤:推荐使用白名单机制,根据组织业务需求,圈定业务需求所需的网站类型。如果采用白名单机制有困难,则至少要阻断恶意网站、其他类。同时,启用恶意URL检测功能。
通过沙箱联动,发现未知威胁。防火墙将流量还原成文件,并将需要检测的文件发送到沙箱进行检测。防火墙定期到沙箱上查询检测结果,并根据检测结果更新设备缓存中的恶意文件和恶意URL列表。当具有相同特征的后续流量命中恶意文件或恶意URL列表时,防火墙将直接阻断。
通过HiSec Insight、诱捕,避免横向扩散。部署HiSec Insight和支持诱捕特性的交换机和防火墙。诱导勒索病毒入侵仿真业务并捕获其入侵行为,上报检测结果至HiSec Insight,HiSec Insight可全网下发策略阻断勒索病毒传播。诱捕系统有助于降低真实系统被攻击的概率,最大限度减少损失。
部署日志审计系统,用于调查取证和攻击溯源。日志审计系统可以集中存储和管理网络设备和服务器的日志信息,便于监控和事后分析。此外,攻击者还可能会加密或者删除主机日志,部署日志审计系统可以规避此问题。
关于详细的操作指导,请参见勒索软件防护指南>网络侧防护。
如何处置勒索软件
如果不幸被勒索,请按照如下建议处理。
不要急于为勒索软件支付赎金。支付赎金相当于鼓励网络犯罪,并且并不能保证能够恢复被加密的文件。
严格来说,加密型勒索软件不可破解。因勒索软件本身设计的问题,或者黑客组织公布了解密密钥(如Shade),存在一定的解密可能性。
如果被加密的数据相当重要或者极其敏感,且该勒索软件尚无解密方案,也请在确认网络犯罪分子确实可以解密后,再决定是否支付赎金。
常见的勒索软件处置建议,相关措施包括但不局限于:
隔离被勒索的设备拔掉网线或者修改网络连接设置,从网络中隔离所有被勒索的设备,防止勒索软件进一步传播,控制影响范围。同时排查受影响的主机数量,记录问题现象。 关闭其他未感染主机的高危端口。在局域网内其它未感染设备上,关闭常见的高危端口(包括135、139、445、3389等),或设置可访问此端口的用户/计算机。
清除勒索软件尝试使用杀毒软件扫描和清除勒索软件。请重启操作系统,进入安全模式,安装/杀毒软件并全盘扫描。 勒索软件搜索文件并加密需要一定的时间,及早清理勒索软件可以降低其危害程度,也能避免它重复锁定系统或加密文件。
解密保护现场。不要直接重新安装操作系统。如果被加密锁定数据比较重要,建议做好被加密文件的备份和环境的保护,防止因为环境破坏造成无法解密等。 访问“No More Ransom”网站,使用解码刑警(Crypto Sheriff)确定勒索软件的类型,并检查是否有可用的解密方案,有机会破解并恢复文件。
调查取证求助专业技术人员进行取证操作,以便分析勒索软件的攻击路径,对攻击路径进行溯源。 在操作系统的事件查看器中,查看安全日志,重点关注登录失败事件。在网络设备中查看安全日志、会话日志,重点关注暴力破解、SMB等重大漏洞攻击事件。 确定中毒原因,彻底修复系统中存在的安全问题,避免再次沦陷。
重装系统最后的最后,如果勒索软件无法移除、被加密数据不可恢复,请备份被加密数据(或许未来有恢复的可能),然后格式化硬盘驱动器,擦除所有数据(包括受感染的数据),重新安装操作系统和应用程序。
参考资源
1勒索软件防护指南
Your browser does not support the video tag.
相关词条
词条统计
作者:
金德胜
最近更新:
2022-12-26
浏览次数:
15033
平均得分:
页内导航
勒索软件的类型
勒索软件的入侵方式
如何防御勒索软件
如何处置勒索软件
问卷调研
帮助中心
在线客服
分享链接
意见反馈
分享链接到:
意见反馈
关注我们
关于华为
华为公司简介
关于企业业务
查找中国办事处
新闻中心
市场活动
信任中心
如何购买
售前在线咨询
提交项目需求
查找经销商
向经销商询价
合作伙伴
成为合作伙伴
合作伙伴培训
合作伙伴政策
资源
华为“懂行”体验店
e直播
博客
资料中心
视频中心
电子期刊
成功案例
快速链接
互动社区
华为云
华为智能光伏
华为商城
华为招聘
版权所有 © 华为技术有限公司 1998-2023。 保留一切权利。粤A2-20044005号
隐私保护
|
法律声明
|
网站地图
|
勒索病毒的防范处理措施-信息中心(网信办)
勒索病毒的防范处理措施-信息中心(网信办)
站内搜索
设为首页 |
学校主页 |
中心首页
首页
网络安全资讯
安全防护通报
安全法规
漏洞信息
网络安全知识
网络安全宣传周
网络安全知识
首页
网络安全资讯
安全防护通报
安全法规
漏洞信息
网络安全知识
网络安全宣传周
您当前所在的位置:
首页
->
网络安全知识
->
正文
勒索病毒的防范处理措施
发布日期:2021-09-10 来源: 点击量:
自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模暴发以来,勒索病毒对政企机构和网民的威胁极大:企业数据泄露风险不断上升,数百万甚至上亿赎金的勒索案件不断出现。
2021年3月,全球新增活跃勒索病毒:FancyBear、Hog、DearCry、Sarbloh、BadGopher、RunExeMemory、Phoenix CryptoLocker等。其中FancyBear还处于开发阶段,DearCry是本月最先被捕获使用Exchange漏洞投发勒索病毒的家族,新出现的PhoenixCryptoLocker可能与Evil黑客组织相关。
勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。本文介绍了一些勒索病毒的防范和处理措施,希望能够帮助读者免受勒索病毒侵害。
一、如何判断病情
如何判断计算机是否中了勒索病毒呢?勒索病毒有区别于其他病毒的明显特征:加密受害者主机的文档和数据,然后对受害者实施勒索,从中非法谋取私利。勒索病毒的主要目的是为了勒索,黑客在植入病毒完成加密后,会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。如果计算机出现了以下特征,可表明已经中了勒索病毒。
1、电脑桌面被篡改
服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式。
下面为电脑感染勒索病毒后,几种典型的桌面发生变化的示意图。
2、文件后缀被篡改
服务器感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件扩展名被篡改。一般来说,文件扩展名会被改成勒索病毒家族的名称或其家族代表标志,如:GlobeImposter家族的扩展名为dream、TRUE、CHAK等;Satan家族的扩展名有satan、sicck;Crysis家族的扩展名有ARROW、arena等。
二、如何进行自救
1、正确处置方法
(一)隔离中招主机
处置方法
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
1)物理隔离
物理隔离常用的操作方法是断网和关机。
断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
2)访问控制
访问控制常用的操作方法是加策略和修改登录密码。
加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。
修改登录密码的主要操作为:立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码;第三,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
处置原理
隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。
有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪。
另外,近期也发现有黑客会以暴露在公网上的主机为跳板,再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击,造成更大规模的破坏。
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。
(二)排查业务系统
处置方法
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
处置原理
业务系统的受影响程度直接关系着事件的风险等级。评估风险,及时采取对应的处置措施,避免更大的危害。
另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。
所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。
(三)联系专业人员
在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。
2、错误处置方法
(一)使用移动存储设备
错误操作
当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。
错误原理
勒索病毒通常会对感染电脑上的所有文件进行加密,所以当插上U盘或移动硬盘时,也会立即对其存储的内容进行加密,从而造成损失扩大。从一般性原则来看,当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。
所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用U盘、移动硬盘等设备。
(二)读写中招主机上的磁盘文件
错误操作
当确认服务器已经被感染勒索病毒后,轻信网上的各种解密方法或工具,自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。
错误原理
很多流行勒索病毒的基本加密过程为:
1)首先,将保存在磁盘上的文件读取到内存中;
2)其次,在内存中对文件进行加密;
3)最后,将修改后的文件重新写到磁盘中,并将原始文件删除。
也就是说,很多勒索病毒在生成加密文件的同时,会对原始文件采取删除操作。理论上说,使用某些专用的数据恢复软件,还是有可能部分或全部恢复被加密文件的。
而此时,如果用户对电脑磁盘进行反复的读写操作,有可能破坏磁盘空间上的原始文件,最终导致原本还有希望恢复的文件彻底无法恢复。
三、如何恢复系统
1、历史备份还原
如果事前已经对文件进行了备份,那么我们可以直接从云盘、硬盘或其他灾备系统中,恢复被加密的文件。值得注意的是,在文件恢复之前,应确保系统中的病毒已被清除,已经对磁盘进行格式化或是重装系统,以免插上移动硬盘的瞬间,或是网盘下载文件到本地后,备份文件也被加密。
事先进行备份,既是最有效也是成本最低的恢复文件的方式。
2、解密工具恢复
绝大多数勒索病毒使用的加密算法都是国际公认的标准算法,这种加密方式的特点是,只要加密密钥足够长,普通电脑可能需要数十万年才能够破解,破解成本是极高的。通常情况,如果不支付赎金是无法解密恢复文件的。
但是,对于以下三种情况,可以通过各大安全厂商提供的解密工具恢复感染文件:
1)勒索病毒的设计编码存在漏洞或并未正确实现加密算法;
2)勒索病毒的制造者主动发布了密钥或主密钥;
3)执法机构查获带有密钥的服务器,并进行了分享。
通过查询可靠安全厂商的网站,可以了解哪些勒索病毒可以被解密,同时采取相应措施。
3、重装系统
当文件无法解密,也觉得被加密的文件价值不大时,也可以采用重装系统的方法,恢复系统。但是,重装系统意味着文件再也无法被恢复。另外,重装系统后需更新系统补丁,并安装杀毒软件和更新杀毒软件的病毒库到最新版本,而且对于服务器也需要进行针对性的防黑加固。
4、如何加强防护
虽说部分勒索病毒目前已有解密工具,但勒索病毒制作成本低、利润高,新型勒索病毒层出不穷,并不是所有的勒索病毒都能进行解密。因此,加强勒索病毒的防护比中了勒索病毒之后再进行补救要有效得多。
对于高校师生,加强防护主要有以下相应措施:
养成良好的安全习惯
1)电脑应当安装具有云防护和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易放行。
2)使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和常用软件打好补丁,定期更新病毒库,以免病毒利用漏洞自动入侵电脑。
3)电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。
4)重要文档数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
减少危险的上网操作
5)不要浏览来路不明的不良信息网站,这些网站经常被用于发动挂马、钓鱼攻击。
6)不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。
7)电脑连接移动存储设备,如U盘、移动硬盘等,应首先使用安全软件检测其安全性。
8)对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
上一条:四格漫画丨网上冲浪第一步 个人隐私要保护
下一条:Incaseformat病毒简单处理方式
Copyright 2010-2021 Powered By 山西传媒学院
文华校区:山西省高校新区文华街125号(晋中市榆次区),邮编:030619
东华校区:山西省太原市五龙口街118号,邮编:030013 晋ICP备08101804号-1 晋公网安备 14070202000062号
勒索病毒的防范处理措施-信息中心(网信办)
勒索病毒的防范处理措施-信息中心(网信办)
站内搜索
设为首页 |
学校主页 |
中心首页
首页
网络安全资讯
安全防护通报
安全法规
漏洞信息
网络安全知识
网络安全宣传周
网络安全知识
首页
网络安全资讯
安全防护通报
安全法规
漏洞信息
网络安全知识
网络安全宣传周
您当前所在的位置:
首页
->
网络安全知识
->
正文
勒索病毒的防范处理措施
发布日期:2021-09-10 来源: 点击量:
自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模暴发以来,勒索病毒对政企机构和网民的威胁极大:企业数据泄露风险不断上升,数百万甚至上亿赎金的勒索案件不断出现。
2021年3月,全球新增活跃勒索病毒:FancyBear、Hog、DearCry、Sarbloh、BadGopher、RunExeMemory、Phoenix CryptoLocker等。其中FancyBear还处于开发阶段,DearCry是本月最先被捕获使用Exchange漏洞投发勒索病毒的家族,新出现的PhoenixCryptoLocker可能与Evil黑客组织相关。
勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。本文介绍了一些勒索病毒的防范和处理措施,希望能够帮助读者免受勒索病毒侵害。
一、如何判断病情
如何判断计算机是否中了勒索病毒呢?勒索病毒有区别于其他病毒的明显特征:加密受害者主机的文档和数据,然后对受害者实施勒索,从中非法谋取私利。勒索病毒的主要目的是为了勒索,黑客在植入病毒完成加密后,会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。如果计算机出现了以下特征,可表明已经中了勒索病毒。
1、电脑桌面被篡改
服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式。
下面为电脑感染勒索病毒后,几种典型的桌面发生变化的示意图。
2、文件后缀被篡改
服务器感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件扩展名被篡改。一般来说,文件扩展名会被改成勒索病毒家族的名称或其家族代表标志,如:GlobeImposter家族的扩展名为dream、TRUE、CHAK等;Satan家族的扩展名有satan、sicck;Crysis家族的扩展名有ARROW、arena等。
二、如何进行自救
1、正确处置方法
(一)隔离中招主机
处置方法
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
1)物理隔离
物理隔离常用的操作方法是断网和关机。
断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
2)访问控制
访问控制常用的操作方法是加策略和修改登录密码。
加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。
修改登录密码的主要操作为:立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码;第三,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
处置原理
隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。
有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪。
另外,近期也发现有黑客会以暴露在公网上的主机为跳板,再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击,造成更大规模的破坏。
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。
(二)排查业务系统
处置方法
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
处置原理
业务系统的受影响程度直接关系着事件的风险等级。评估风险,及时采取对应的处置措施,避免更大的危害。
另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。
所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。
(三)联系专业人员
在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。
2、错误处置方法
(一)使用移动存储设备
错误操作
当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。
错误原理
勒索病毒通常会对感染电脑上的所有文件进行加密,所以当插上U盘或移动硬盘时,也会立即对其存储的内容进行加密,从而造成损失扩大。从一般性原则来看,当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。
所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用U盘、移动硬盘等设备。
(二)读写中招主机上的磁盘文件
错误操作
当确认服务器已经被感染勒索病毒后,轻信网上的各种解密方法或工具,自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。
错误原理
很多流行勒索病毒的基本加密过程为:
1)首先,将保存在磁盘上的文件读取到内存中;
2)其次,在内存中对文件进行加密;
3)最后,将修改后的文件重新写到磁盘中,并将原始文件删除。
也就是说,很多勒索病毒在生成加密文件的同时,会对原始文件采取删除操作。理论上说,使用某些专用的数据恢复软件,还是有可能部分或全部恢复被加密文件的。
而此时,如果用户对电脑磁盘进行反复的读写操作,有可能破坏磁盘空间上的原始文件,最终导致原本还有希望恢复的文件彻底无法恢复。
三、如何恢复系统
1、历史备份还原
如果事前已经对文件进行了备份,那么我们可以直接从云盘、硬盘或其他灾备系统中,恢复被加密的文件。值得注意的是,在文件恢复之前,应确保系统中的病毒已被清除,已经对磁盘进行格式化或是重装系统,以免插上移动硬盘的瞬间,或是网盘下载文件到本地后,备份文件也被加密。
事先进行备份,既是最有效也是成本最低的恢复文件的方式。
2、解密工具恢复
绝大多数勒索病毒使用的加密算法都是国际公认的标准算法,这种加密方式的特点是,只要加密密钥足够长,普通电脑可能需要数十万年才能够破解,破解成本是极高的。通常情况,如果不支付赎金是无法解密恢复文件的。
但是,对于以下三种情况,可以通过各大安全厂商提供的解密工具恢复感染文件:
1)勒索病毒的设计编码存在漏洞或并未正确实现加密算法;
2)勒索病毒的制造者主动发布了密钥或主密钥;
3)执法机构查获带有密钥的服务器,并进行了分享。
通过查询可靠安全厂商的网站,可以了解哪些勒索病毒可以被解密,同时采取相应措施。
3、重装系统
当文件无法解密,也觉得被加密的文件价值不大时,也可以采用重装系统的方法,恢复系统。但是,重装系统意味着文件再也无法被恢复。另外,重装系统后需更新系统补丁,并安装杀毒软件和更新杀毒软件的病毒库到最新版本,而且对于服务器也需要进行针对性的防黑加固。
4、如何加强防护
虽说部分勒索病毒目前已有解密工具,但勒索病毒制作成本低、利润高,新型勒索病毒层出不穷,并不是所有的勒索病毒都能进行解密。因此,加强勒索病毒的防护比中了勒索病毒之后再进行补救要有效得多。
对于高校师生,加强防护主要有以下相应措施:
养成良好的安全习惯
1)电脑应当安装具有云防护和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易放行。
2)使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和常用软件打好补丁,定期更新病毒库,以免病毒利用漏洞自动入侵电脑。
3)电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。
4)重要文档数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
减少危险的上网操作
5)不要浏览来路不明的不良信息网站,这些网站经常被用于发动挂马、钓鱼攻击。
6)不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。
7)电脑连接移动存储设备,如U盘、移动硬盘等,应首先使用安全软件检测其安全性。
8)对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
上一条:四格漫画丨网上冲浪第一步 个人隐私要保护
下一条:Incaseformat病毒简单处理方式
Copyright 2010-2021 Powered By 山西传媒学院
文华校区:山西省高校新区文华街125号(晋中市榆次区),邮编:030619
东华校区:山西省太原市五龙口街118号,邮编:030013 晋ICP备08101804号-1 晋公网安备 14070202000062号
勒索病毒的防范处理措施-信息中心(网信办)
勒索病毒的防范处理措施-信息中心(网信办)
站内搜索
设为首页 |
学校主页 |
中心首页
首页
网络安全资讯
安全防护通报
安全法规
漏洞信息
网络安全知识
网络安全宣传周
网络安全知识
首页
网络安全资讯
安全防护通报
安全法规
漏洞信息
网络安全知识
网络安全宣传周
您当前所在的位置:
首页
->
网络安全知识
->
正文
勒索病毒的防范处理措施
发布日期:2021-09-10 来源: 点击量:
自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模暴发以来,勒索病毒对政企机构和网民的威胁极大:企业数据泄露风险不断上升,数百万甚至上亿赎金的勒索案件不断出现。
2021年3月,全球新增活跃勒索病毒:FancyBear、Hog、DearCry、Sarbloh、BadGopher、RunExeMemory、Phoenix CryptoLocker等。其中FancyBear还处于开发阶段,DearCry是本月最先被捕获使用Exchange漏洞投发勒索病毒的家族,新出现的PhoenixCryptoLocker可能与Evil黑客组织相关。
勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。本文介绍了一些勒索病毒的防范和处理措施,希望能够帮助读者免受勒索病毒侵害。
一、如何判断病情
如何判断计算机是否中了勒索病毒呢?勒索病毒有区别于其他病毒的明显特征:加密受害者主机的文档和数据,然后对受害者实施勒索,从中非法谋取私利。勒索病毒的主要目的是为了勒索,黑客在植入病毒完成加密后,会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。如果计算机出现了以下特征,可表明已经中了勒索病毒。
1、电脑桌面被篡改
服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式。
下面为电脑感染勒索病毒后,几种典型的桌面发生变化的示意图。
2、文件后缀被篡改
服务器感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件扩展名被篡改。一般来说,文件扩展名会被改成勒索病毒家族的名称或其家族代表标志,如:GlobeImposter家族的扩展名为dream、TRUE、CHAK等;Satan家族的扩展名有satan、sicck;Crysis家族的扩展名有ARROW、arena等。
二、如何进行自救
1、正确处置方法
(一)隔离中招主机
处置方法
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
1)物理隔离
物理隔离常用的操作方法是断网和关机。
断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
2)访问控制
访问控制常用的操作方法是加策略和修改登录密码。
加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。
修改登录密码的主要操作为:立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码;第三,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
处置原理
隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。
有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪。
另外,近期也发现有黑客会以暴露在公网上的主机为跳板,再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击,造成更大规模的破坏。
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。
(二)排查业务系统
处置方法
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
处置原理
业务系统的受影响程度直接关系着事件的风险等级。评估风险,及时采取对应的处置措施,避免更大的危害。
另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。
所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。
(三)联系专业人员
在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。
2、错误处置方法
(一)使用移动存储设备
错误操作
当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。
错误原理
勒索病毒通常会对感染电脑上的所有文件进行加密,所以当插上U盘或移动硬盘时,也会立即对其存储的内容进行加密,从而造成损失扩大。从一般性原则来看,当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。
所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用U盘、移动硬盘等设备。
(二)读写中招主机上的磁盘文件
错误操作
当确认服务器已经被感染勒索病毒后,轻信网上的各种解密方法或工具,自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。
错误原理
很多流行勒索病毒的基本加密过程为:
1)首先,将保存在磁盘上的文件读取到内存中;
2)其次,在内存中对文件进行加密;
3)最后,将修改后的文件重新写到磁盘中,并将原始文件删除。
也就是说,很多勒索病毒在生成加密文件的同时,会对原始文件采取删除操作。理论上说,使用某些专用的数据恢复软件,还是有可能部分或全部恢复被加密文件的。
而此时,如果用户对电脑磁盘进行反复的读写操作,有可能破坏磁盘空间上的原始文件,最终导致原本还有希望恢复的文件彻底无法恢复。
三、如何恢复系统
1、历史备份还原
如果事前已经对文件进行了备份,那么我们可以直接从云盘、硬盘或其他灾备系统中,恢复被加密的文件。值得注意的是,在文件恢复之前,应确保系统中的病毒已被清除,已经对磁盘进行格式化或是重装系统,以免插上移动硬盘的瞬间,或是网盘下载文件到本地后,备份文件也被加密。
事先进行备份,既是最有效也是成本最低的恢复文件的方式。
2、解密工具恢复
绝大多数勒索病毒使用的加密算法都是国际公认的标准算法,这种加密方式的特点是,只要加密密钥足够长,普通电脑可能需要数十万年才能够破解,破解成本是极高的。通常情况,如果不支付赎金是无法解密恢复文件的。
但是,对于以下三种情况,可以通过各大安全厂商提供的解密工具恢复感染文件:
1)勒索病毒的设计编码存在漏洞或并未正确实现加密算法;
2)勒索病毒的制造者主动发布了密钥或主密钥;
3)执法机构查获带有密钥的服务器,并进行了分享。
通过查询可靠安全厂商的网站,可以了解哪些勒索病毒可以被解密,同时采取相应措施。
3、重装系统
当文件无法解密,也觉得被加密的文件价值不大时,也可以采用重装系统的方法,恢复系统。但是,重装系统意味着文件再也无法被恢复。另外,重装系统后需更新系统补丁,并安装杀毒软件和更新杀毒软件的病毒库到最新版本,而且对于服务器也需要进行针对性的防黑加固。
4、如何加强防护
虽说部分勒索病毒目前已有解密工具,但勒索病毒制作成本低、利润高,新型勒索病毒层出不穷,并不是所有的勒索病毒都能进行解密。因此,加强勒索病毒的防护比中了勒索病毒之后再进行补救要有效得多。
对于高校师生,加强防护主要有以下相应措施:
养成良好的安全习惯
1)电脑应当安装具有云防护和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易放行。
2)使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和常用软件打好补丁,定期更新病毒库,以免病毒利用漏洞自动入侵电脑。
3)电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。
4)重要文档数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
减少危险的上网操作
5)不要浏览来路不明的不良信息网站,这些网站经常被用于发动挂马、钓鱼攻击。
6)不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。
7)电脑连接移动存储设备,如U盘、移动硬盘等,应首先使用安全软件检测其安全性。
8)对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
上一条:四格漫画丨网上冲浪第一步 个人隐私要保护
下一条:Incaseformat病毒简单处理方式
Copyright 2010-2021 Powered By 山西传媒学院
文华校区:山西省高校新区文华街125号(晋中市榆次区),邮编:030619
东华校区:山西省太原市五龙口街118号,邮编:030013 晋ICP备08101804号-1 晋公网安备 14070202000062号
勒索病毒应急措施及防护方案 - 知乎
勒索病毒应急措施及防护方案 - 知乎切换模式写文章登录/注册勒索病毒应急措施及防护方案safety fuse程序员 电影迷 喵奴随着国家在政府、企业、教育及医疗等行业“互联网+”战略的不断推进,各个行业在逐渐数字化、网络化、智能化、逐步拥抱产业互联网化的大浪潮过程中,也逐渐暴露出一系列网络安全问题。勒索病毒也乘机发难,疯狂敛财,影响日渐扩大。全球范围内的交通、能源、医疗等社会基础服务设施,成为勒索病毒攻击的目标。勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且用户无法读取原本正常的文件,对用户造成无法估量的损失。勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件,绝大多数勒索软件均无法通过技术手段解密,必须拿到对应的解密私钥才有可能无损还原被加密文件。黑客正是通过这样的行为向受害用户勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。为帮助更多的朋友在中了勒索病毒后,能够正确处置并及时采取必要的自救措施,阻止损失扩大。同时为了建立更有效的防护措施避免勒索病毒的攻击。本文介绍一些相关的应急处置办法和防护方案,希望能对广大朋友有所帮助。1.2019上半年勒索病毒攻击态势2019 年上半年共监控到受勒索病毒攻击的计算机 225.6 万台,处理反勒索申诉案件超过 1500 例。从攻击情况和威胁程度上看,勒索病毒攻击依然是当前国内计算机面临的最大安全威胁之一。在企业安全层面,勒索病毒威胁也已深入人心,成为企业最为担忧的安全问题。观察勒索病毒影响的行业,以传统行业与教育行业受害最为严重,互联网,医疗,企事业单位紧随其后。 2019上半年,勒索病毒的感染量一直稳定,累计被攻击的计算机超过250万台,时间分布上以2019年1月份最为活跃,2月到6月整体较为平稳,近期略有上升趋势。2.勒索病毒产业链随着勒索产业的迅速发展壮大,通过围绕数据加密,数据泄露,乃至诈骗等核心元素展开的网络勒索类型也是千姿百态。网络勒索具有匿名性、隐蔽性、便捷性等特点,深受黑产青睐。其中典型的勒索病毒作案实施过程如下,一次完整的勒索可能涉及5个角色(一人可能充当多个角色)。 勒索病毒作者:负责勒索病毒编写制作,与安全软件免杀对抗。通过在“暗网”或其它地下平台贩卖病毒代码,接受病毒定制,或出售病毒生成器的方式,与勒索者进行合作拿取分成。勒索者:从病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序,通过自定义病毒勒索信息后得到自己的专属病毒,与勒索病毒作者进行收入分成。传播渠道商:帮助勒索者传播勒索病毒,最为熟悉的则是僵尸网络,例Necurs、Gamut,全球有97%的钓鱼邮件由该两个僵尸网络发送。解密代理:向受害者假称自己能够解密各勒索病毒加密的文件,并且是勒索者提出赎金的50%甚至更低,但实际上与勒索者进行合作,在其间赚取差价。从世界范围内看,勒索病毒产业链养活了大量从事解密代理的组织,这些人直接购买搜索关键字广告,让勒索病毒受害企业通过他们完成解密交易,解密代理充当了中间人的角色,从中获取大量利益。受害者:通过勒索病毒各种传播渠道不幸中招的受害者,如有重要文件被加密,则向代理或勒索者联系缴纳赎金解密文件。 3.病毒勒索五大形式数据加密勒索:这种方式是当前受害群体最多、社会影响最广,勒索犯罪中最为活跃的表现形式,该方式通过加密用户系统内的重要资料文档,数据,再结合虚拟货币实施完整的犯罪流程。以GandCrab为代表的勒索集团当属该类勒索产业中的佼佼者,该黑产团伙在运营短短一年多的时间内,非法敛财20亿美元,该病毒也一度影响了包括我国在内的多个国家基础设施的正常运转,在我国境内制造了大量GandCrab病毒感染事件。系统锁定勒索:该形式勒索与数据加密勒索有着极大的相似性,在部分真实攻击场景中该方式也会结合数据加密勒索方式共同实施。这种方式的攻击重点不是针对磁盘文件,而是通过修改系统引导区,篡改系统开机密码等手段将用户系统锁定,导致用户无法正常登录到系统。通过该模式实施的勒索在电脑和安卓手机系统也较为常见。国内PC多见以易语言为代表编写的一系列锁机病毒,将病毒捆绑在破解工具、激活工具、游戏外挂中,欺骗用户通过论坛,网盘,下载站等渠道传播。数据泄漏勒索:该类型勒索通常情况针对企业实施,黑客通过入侵拿到企业内相关机密数据,随后敲诈企业支付一定金额的赎金,黑客收到赎金后称会销毁数据,否则将进入撕票流程,在指定时间将企业机密数据公开发布,以此要挟企业支付酬金。大规模的数据泄露对大企业而言不仅会造成严重的经济损失,也会为极大的负面影响。诈骗恐吓式勒索:此类型勒索与企业数据泄露造成的勒索有着相似点,针对个人用户隐私发起攻击。不同点为攻击者手中根本没有隐私数据,他们通过伪造、拼接与隐私有关的图片、视频、文档等等恐吓目标实施诈骗勒索。此类勒索者会大量群发诈骗邮件,当命中收件人隐私信息后,利用收件人的恐慌心理实施欺诈勒索。勒索过程中,受害者由于担心自己隐私信息遭受进一步的泄漏,容易陷入圈套,从而受骗缴纳赎金。破坏性加密数据掩盖入侵真相在部分涉及各行业重要数据,各国家机密数据的染毒场景中,有时也会发现一些不同于感染传统勒索病毒的案例。区别在于,观察此类染毒环境中可发现,病毒对部分文件会进行多次加密,甚至对文件进行了无法修复的破坏,且病毒不做白名单过滤,极易将系统直接搞崩溃。分析此类染毒场景可知病毒真实意图似乎更偏向于破坏,而不在于图财。部分黑客组织在实施APT攻击、窃取企业数据之后,为消除痕迹,会进一步投递破坏性的勒索病毒,将用户资料加密,部分APT攻击者的终极目的就是为了对目标基础设施打击以造成无法修复的损坏。勒索病毒的加密机制,让这些攻击行动变得较为常见,从而有利于黑客组织掩盖真实攻击意图。4.常见的勒索病毒GandCrabGandCrab勒索病毒首次出现于2018年1月,是国内首个使用达世币(DASH)作为赎金的勒索病毒,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件等各种方式传播。2018年10月16日,一位叙利亚用户在推特表示,GandCrab病毒加密了他的电脑文件,因无力支付勒索赎金,他再也无法看到因为战争丧生的小儿子的照片。随后GandCrab放出了叙利亚地区的部分密钥,并在之后的病毒版本中将叙利亚地区列入白名单不再感染,这也是国内有厂商将其命名为“侠盗勒索”的原因。2019年6月1日,GandCrab运营团队在某俄语论坛公开声明“从出道到现在的16个月内共赚到20多亿美金,平均每人每年入账1.5亿,并成功将这些钱洗白。同时宣布关闭勒索服务,停止运营团队,后续也不会放出用于解密的密钥,往后余生,要挥金如土,风流快活去”。2019年6月17日,Bitdefender联合罗马尼亚与欧洲多地区警方一起通过线上线下联合打击的方式,实现了对GandCrab最新病毒版本v5.2的解密。该事件也标志着GandCrab勒索团伙故事的终结。GlobeImposter2017年5月,勒索病毒Globelmposter首次在国内出现。2018年2月全国各大医院受Globelmposter勒索病毒攻击,导致医院系统被加密,严重影响了医院的正常业务。Globelmposter攻击手法都极其丰富,通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具。CrysisCrysis勒索病毒从2016年开始具有勒索活动 ,加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀,例:“id-编号.[gracey1c6rwhite@aol.com].bip”,其家族衍生Phobos系列变种在今年2月开始也有所活跃。该病毒通常使用弱口令爆破的方式入侵企业服务器,安全意识薄弱的企业由于多台机器使用同一弱密码,面对该病毒极容易引起企业内服务器的大面积感染,进而造成业务系统瘫痪。SodinokibiSodinokibi勒索病毒首次出现于2019年4月底,由于之后GandCrab停止运营事件,该病毒紧跟其后将GandCrab勒索家族的多个传播渠道纳入自身手中。该病毒目前在国内主要通过web相关漏洞和海量的钓鱼邮件传播,也被国内厂商称为GandCrab的“接班人”,从该病毒传播感染势头来看,毫无疑问是勒索黑产中的一颗上升的新星。WananCryWannaCry于2017年5月12日在全球范围大爆发,引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry在短时间内影响近150个国家,致使多个国家政府、教育、医院、能源、通信、交通、制造等诸多关键信息基础设施遭受前所未有的破坏,勒索病毒也由此事件受到空前的关注,由于当前网络中仍有部分机器未修复漏洞,所以该病毒仍然有较强活力(大部分加密功能失效)。StopStop勒索病毒家族在国内主要通过软件捆绑、垃圾邮件等方式进行传播,加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒会留下名为_readme.txt的勒索说明文档,勒索980美元,并声称72小时内联系病毒作者将获得50%费用减免,同时,该病毒除加密文件外,还具备以下行为特点。加密时,禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能;通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站;因病毒执行加密时,会造成系统明显卡顿,为掩人耳目,病毒会弹出伪造的Windows 自动更新窗口;释放一个被人为修改后不显示界面的TeamViewer模块,用来实现对目标电脑的远程控制;下载AZORult窃密木马,以窃取用户浏览器、邮箱、多个聊天工具的用户名密码。ParadiseParadise勒索病毒最早出现于2018年7月,该病毒勒索弹窗样式与Crysis极为相似,勒索病毒加密文件完成后将修改文件名为以下格式:[原文件名]_[随机字符串]_{邮箱}.随机后缀,并留下名为Instructions with your files.txt或###_INFO_you_FILE_###.txt 的勒索说明文档。ClopClop勒索病毒使用RSA+RC4的方式对文件进行加密,与其他勒索病毒不同的是,Clop勒索病毒部分情况下携带了有效的数字签名,数字签名滥用,冒用以往情况下多数发生在流氓软件,窃密类木马程序中。勒索病毒携带有效签名的情况极为少见,这意味着该病毒在部分拦截场景下更容易获取到安全软件的信任,进而感染成功,对企业造成无法逆转的损失。SCarabScarab索病毒主要利用Necurs僵尸网络进行传播,在国内也有发现通过RDP过口令爆破后投毒。该家族变种较多,部分变种感染后外观展现形态差异较大,例如今年3月份我国部分企业感染的ImmortalLock(不死锁)病毒则为Scarab家族在国内活跃的一个变种。MazeMaze(迷宫)勒索病毒也叫ChaCha勒索病毒,擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破解)、盗版影视作品下载,以及某些软件内嵌的广告页面,该病毒的特点之一是自称根据染毒机器的价值来确认勒索所需的具体金额。5.勒索病毒攻击手段弱口令计算机中涉及到口令爆破攻击的暴露面,主要包括远程桌面弱口令、SMB 弱口令、数据库管理系统弱口令(例如 MySQL、SQL Server、Oracle 等)、Tomcat 弱口令、phpMyAdmin 弱口令、VNC 弱口令、FTP 弱口令等。因系统遭遇弱口令攻击而导致数据被加密的情况,也是所有被攻击情况的首位。钓鱼和垃圾邮件比如 Sodinokibi 勒索病毒,就大量使用钓鱼邮件进行传播。攻击者伪装成 DHL向用户发送繁体中文邮件,提示用户的包裹出现无限期延误,需要用户查看邮件附件中的“文档”后进行联络。但实际该压缩包内是伪装成文档的勒索病毒。 利用漏洞目前,黑客用来传播勒索病毒的系统漏洞、软件漏洞,大部分都是已被公开且厂商已经修补了的安全问题,但并非所有用户都会及时安装补丁或者升级软件,所以即使是被修复的漏洞(Nday 漏洞)仍深受黑客们的青睐。一旦有利用价值高的漏洞出现,都会很快被黑客加入到自己的攻击工具中。常见系统漏洞Confluence RCE 漏洞 CVE-2019-3396WebLogic 反序列化漏洞 cve-2019-2725 Windows 内核提权漏洞 CVE-2018-8453 JBoss 反序列化漏洞 CVE-2017-12149 JBoss 默认配置漏洞 CVE-2010-0738 JBoss 默认配置漏洞 CVE-2015-7501 WebLogic 反序列化漏洞 CVE-2017-10271 “永恒之蓝”相关漏洞 CVE-2017-0146 Struts 远程代码执行漏洞 S2-052(仅扫描)CVE-2017-9805 WebLogic 任意文件上传漏洞 CVE-2018-2894 Spring Data Commons 远程代码执行漏洞 CVE-2018-1273 网站挂马如今年 3 月份再次活跃的 Paradise勒索病毒,就是通过网站挂马的方式进行传播的。攻击者使用了在暗网上公开售卖的Fallout Exploit Kit 漏洞利用工具进行攻击,该漏洞利用工具之前还被用来传播 GandCrab和一些其它恶意软件。如果访问者的机器存在漏洞,那么在访问这些被挂马站点时,就极有可能感染木马病毒。在使用的漏洞方面,Windows 自身漏洞和 flash 漏洞是网页挂马中,最常被使用到的漏洞。比如 CVE-2018-4878 flash 漏洞和 CVE-2018-8174 Windows VBScript 引擎远程代码执行漏洞就被用来传播 GandCrab。 破解与激活工具如国内流行的一些系统激活工具中,多次被发现携带有下载器,rootkit 木马,远控木马等。STOP 勒索病毒便是其中一类,从去年年底开始活跃的 STOP 勒索病毒,通过捆绑在一些破解软件和激活工具中,当用户下载使用这些软件时,病毒便被激活,感染用户计算机,加密计算机中的文件。通过U盘感染经常使用U盘共享拷贝文件,容易造成病毒传播和交叉感染。6.勒索病毒入侵过程病毒入侵的本质:虽病毒类型各异,但从病毒入侵的过程是存在共性的,这与洛克希德-马丁公司提出的“网络杀伤链”理论非常契合。即整个入侵过程,一般会经历侦查跟踪、武器构建、载荷投送、漏洞利用、安装植入、命令与控制、目标达成七个阶段。“杀伤链”这个概念源自军事领域,它是一个描述攻击环节的六阶段模型,该理论也可以用来反制此类攻击(即反杀伤链)。这就像传统的盗窃流程。小偷要先踩点再溜入目标建筑,一步步实行盗窃计划最终卷赃逃逸。7.勒索病毒中毒特征首先如何判断服务器中了勒索病毒呢?勒索病毒区别于其他病毒的明显特征:加密受害者主机的文档和数据,然后对受害者实施勒索,从中非法谋取私利。勒索病毒的收益极高,所以大家才称之为“勒索病毒”。勒索病毒的主要目的既然是为了勒索,那么黑客在植入病毒完成加密后,必然会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。所以,勒索病毒有明显区别于一般病毒的典型特征。如果服务器出现了以下特征,即表明已经中了勒索病毒。8.勒索病毒自救措施当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。例如:与被感染主机相连的其他服务器也存在漏洞或是有缺陷,将有可能也被感染。所以,采取自救措施的目的是为了及时止损,将损失降到最低。正确处置方法(一) 隔离中招主机当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。物理隔离物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。访问控制访问控制常用的操作方法是加策略和修改登录密码。加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。修改登录密码的主要操作为:立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码;第三,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪。另外,近期也发现有黑客会以暴露在公网上的主机为跳板,再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击,造成更大规模的破坏。当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。(二) 排查业务系统在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。业务系统的受影响程度直接关系着事件的风险等级。评估风险,及时采取对应的处置措施,避免更大的危害。另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。(三) 联系专业人员在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。错误的处置方法(一) 使用移动存储设备当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用U盘、移动硬盘等设备。(二) 读写中毒主机上的磁盘文件当确认服务器已经被感染勒索病毒后,轻信网上的各种解密方法或工具,自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。访问“拒绝勒索软件”网站,该网站是一项由荷兰国家警察高科技犯罪单位、欧洲刑警组织下属欧洲网络犯罪中心, 卡巴斯基实验室和英特尔公司(英特尔安全)网络保安全公司所推动的计划,旨在帮助勒索软件的受害者重新取回其加密数据,而无需支付赎金。但是这个网站提供的解密密钥仅仅限于已经被破解或被各国执法机构查获的勒索病毒密钥。因此只能做为一个参考,最重要的工作还是做好日常的防护工作。9.加强管理制度建设预防勒索病毒定期进行安全培训,做到“三不三要”杜绝弱口令系,加强口令管理对网络信息资产进行全面核查培养专业的网络安全管理人才对重要的网络服务进行远程访问限制重要的关键业务系统必须做好备份方案10.勒索病毒立体防护解决方案使用单一的安全产品或是单一的技术手段(如防火墙、IPS、杀毒软件)在面对勒索病毒的入侵时,往往面临“时效、单点、溯源”三大核心问题。一旦某一点被突破,特别是新型的病毒,则会直接碰触到业务系统及数据。为此勒索病毒防护必须依赖于全面的防护思路,通过多层、多维的防护措施,构建完整立体的病毒防护体系。第一道防线利用防火墙、上网行为管理等拦截侦查跟踪、武器构建、载荷投送三个阶段的攻击;第二道防线利用WAF防火墙、反垃圾邮件系统、漏洞扫描、终端安全系统、堡垒机以及流量分析系统来拦截漏洞利用、安装植入、命令与控制三个阶段的攻击;第三道防线最后使用数据备份系统建立最后的保障,以确保万一被黑客目标达成攻击后,可以使用备份的数据用以恢复业务系统的运行。注:备份是防止勒索病毒最后的保障,也是最重要的手段。做备份以注意以下几点:A、备份文件不要保存在本机上(否则病毒会将你的备份文件同时加密)。安全备份的原则是321原则,即保存三份数据副本,存储在两种不同的介质上,其中一份在异地。B、不要采用同步复制的方式(不然被加密的文件也会同步复制过覆盖原备份文件)。同步复制的方式固然可以将损失减少到最小,但一般只针对硬件故障,对于病毒、人为因素等逻辑错误无法恢复。————————————————原文链接:勒索病毒应急措施及防护方案_军哥系统集成号的博客-CSDN博客_勒索应急发布于 2022-08-31 18:21勒索病毒赞同 11 条评论分享喜欢收藏申请
如何防勒索病毒? - 知乎
如何防勒索病毒? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册勒索病毒如何防勒索病毒?关注者39被浏览75,133关注问题写回答邀请回答好问题 7添加评论分享23 个回答默认排序文秀大人 关注在讨论如何防勒索病毒问题之前,先来了解一下勒索病毒。 什么是勒索病毒?勒索病毒并不是某一个病毒,而是一类病毒的统称,主要以邮件、程序、木马、网页挂马的形式进行传播,利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。 已知最早的勒索软件出现于 1989 年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo,亦称“PC Cyborg木马”),其作者为 Joseph Popp。早期的勒索病毒主要通过钓鱼邮件,挂马,社交网络方式传播,使用转账等方式支付赎金,其攻击范畴和持续攻击能力相对有限,相对容易追查。2006 年出现的 Redplus 勒索木马(Trojan/Win32.Pluder),是国内首个勒索软件。2013下半年开始,是现代勒索病毒正式成型的时期。勒索病毒使用AES和RSA对特定文件类型进行加密,使破解几乎不可能。同时要求用户使用虚拟货币支付,以防其交易过程被跟踪。这个时期典型的勒索病毒有CryptoLocker,CTBLocker等。自2016年开始,WannaCry勒索蠕虫病毒大爆发,且目的不在于勒索钱财,而是制造影响全球的大规模破坏行动。戏剧性的是,在此阶段,勒索病毒已呈现产业化、家族化持续运营状态。勒索病毒产业化架构自2018年开始,勒索病毒技术日益成熟,已将攻击目标从最初的大面积撒网无差别攻击,转向精准攻击高价值目标。比如直接攻击医疗行业,企事业单位、政府机关服务器,包括制造业在内的传统企业面临着日益严峻的安全形势。2018年至今勒索病毒活跃趋势勒索病毒19年一季度行业分布情况2019年最具代表性的勒索病毒家族排行榜勒索病毒工作原理勒索病毒文件一旦进入被攻击者本地,就会自动运行,同时删除勒病毒母体,以躲避查杀、分析和追踪(变异速度快,对常规的杀毒软件都具有免疫性)。接下来利用权限连接黑客的服务器,上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密(先使用 AES-128 加密算法把电脑上的重要文件加密,得到一个密钥;再使用 RSA-2048 的加密算法把这个密钥进行非对称加密。)。除了病毒开发者本人,其他人是几乎不可能解密。如果想使用计算机暴力破解,根据目前的计算能力,几十年都算不出来。如果能算出来,也仅仅是解开了一个文件。(当然,理论上来说,也可以尝试破解被 RSA-2048 算法加密的总密钥,至于破解所需要的时间,恐怕地球撑不到那个时候。)加密完成后,还会锁定屏幕,修改壁纸,在桌面等显眼的位置生成勒索提示文件,指导用户去缴纳赎金。值得一提的是,有的勒索方式索要赎金是比特币,如果你不会交易流程,可能会遭到勒索者的二次嘲讽:自己上网查!( Ĭ ^ Ĭ )以下为APT沙箱分析到勒索病毒样本载体的主要行为:1、调用加密算法库;2、通过脚本文件进行Http请求;3、通过脚本文件下载文件;4、读取远程服务器文件;5、通过wscript执行文件;6、收集计算机信息;7、遍历文件。该样本主要特点是通过自身的解密函数解密回连服务器地址,通过HTTP GET 请求访问加密数据,保存加密数据到TEMP目录,然后通过解密函数解密出数据保存为DLL,然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成密钥,进而实现对指定类型的文件进行加密,即无需联网下载密钥即可实现对文件加密。同时,在沙箱分析过程中发现了该样本大量的反调试行为,用于对抗调试器的分析,增加了调试和分析的难度。如何防勒索病毒?1、青铜段位(1)不要打开陌生人或来历不明的邮件,防勒索病毒通过邮件的攻击;(2)需要的软件从正规(官网)途径下载;(3)升级杀毒软件到最新版本,阻止已存在的病毒样本攻击;(4)Win7、Win 8.1、Win 10用户,尽快安装微软MS17-010的官方补丁;(5)定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复;(6)定期进行安全培训,日常安全管理可参考“三不三要”(三不:不上钩、不打开、不点击。三要:要备份、要确认、要更新)思路。2、钻石段位(1)物理,网络隔离染毒机器;(2)对于内网其他未中毒电脑,排查系统安全隐患: a)系统和软件是否存在漏洞 b)是否开启了共享及风险服务或端口,如135、137、139、445、3389 c)只允许办公电脑,访问专门的文件服务器。使用FTP,替代文件夹共享。 d)检查机器ipc空连接及默认共享是否开启 e)检查是否使用了统一登录密码或者弱密码(3) 尽量不要点击office宏运行提示,避免来自office组件的病毒感染;(4)尽量不要双击打开.js、.vbs等后缀名文件;(5)事后处理在无法直接获得安全专业人员支持的情况下,可考虑如下措施: a) 通过管家勒索病毒搜索引擎搜索,获取病毒相关信息。搜索引擎地址 (https://guanjia.qq.com/pr/ls/#navi_0)勒索病毒搜索引擎 b) 若支持解密,可直接点击下载工具对文件进行解密(3)王者段位 在如何防勒索病毒这个话题中,人们常规的防御思维综上所述。虽然没什么毛病,但怎么看都像是“坐以待毙”,被动挨打。不过也无可厚非,毕竟见招拆招是惯性思维。正确的防勒索病毒手段,一定是以不变应万变。 举个栗子:农场主养了一群羊,毛发油亮,膘肥体壮,卖相极好,农场主甚是欣慰。有一天农场主发现少了几只羊,还发现了狼的踪迹,便明白了有狼偷羊。农场主跟踪狼的踪迹,设置陷阱,日夜监督,身心俱疲,但还是没有捉到狼,羊的数量还在减少。最后,农场主把茅草的羊圈换成了大理石羊圈,羊再也没少过,农场主也再也不用去寻找狼。主机加固的概念便是如此。所以如何防勒索病毒,主机加固的思路才是良策。主机加固的核心要点:1、系统加固 将调试好的系统锁定,变成可信系统。 在可信系统下,非法程序、脚本都无法运行。而且不会影响数据进出。 即使系统有漏洞,甚至管理员权限丢失,这个可信系统都是安全的。2、程序加固 采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验,校验不通过 拒绝启动,并且可信程序无法被伪装。3、文件加固 保护指定类型的文件不被篡改。4、磁盘加密 创建安全沙盒,该沙盒对外隔离,对沙盒内的数据进行加密,确保数据只能在授权管理有效前提 下,才能被解密。如果没有授权,即使管理员也无法拷贝使用这些数据,即使系统克隆也无效。5、数据库加固 第一层:数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。 第二层:数据库端口访问可信过滤,只允许业务程序进行数据库端口通信连接,在连 接字符串的IP+端口+账号密码中,追加进程身份识别。 第三层:数据库连接SQL文进行智能过滤,防止关键数据被检索和访问,防止数据库 内数据被非法访问,防止数据库表单的危险操作行为。 很多问题换一种思维可能就迎刃而解。如何防勒索病毒,显然用主机加固的策略更佳。至于主机 加固产品如何选型,各位仁者见仁智者见智吧。个人推荐MCK主机加固。这个产品所属公司在数据安全领域可是老前辈了,而且他们的另一个产品SDC沙盒在源代码安全领域是很能打的。最后,涩情网站君莫入,陌生邮件小心读,美女果聊需当心,勒索病毒助你贫。不要谢我,叫我雷锋,深藏功名。编辑于 2021-12-16 17:55赞同 3526 条评论分享收藏喜欢收起Ommega3110计算机硕士,码农,书呆子 关注谢邀,刚上飞船,人在自然选择号。说的是深信达吧。你一提到SDC沙盒,真的有太多感慨。前两年公司开发新项目,大量的嵌入式开发调试动作。我们用U口和网口来传输代码,频繁的发到设备里调试,找问题,改BUG。甲方爸爸特别交代,项目要严格保密,PM和CTO都很忙,就命我出方案。我TM能出什么方案?百度上到处找项目保密,源代码保密,源代码加密的解决方案,全是广告,百度真是绝绝子了。好吧,找了几家软件测试下,要么就坏文件,要么就不停地设置进程、文件后缀名。最关键的是,我这种水平不高的菜鸟也能想办法绕过这些加密软件,简直了。后来问了在DJI(大疆)的师兄,他告诉我源代码加密要用环境加密的,透明加密的不适合,他们公司选型也费老鼻子劲,最后才选的SDC沙盒。至于原理,太多了一句两句也说不清。简单总结一下区别哪:代码开发的环境复杂,进程文件类型很多,要用透明加密一一设置,就类似于白名单,不胜其烦,而且安全系数低,也不支持嵌入式开发场景的加密需求。这时候需要一款基于系统的、开发场景的加密产品。这个产品要不关联文件类型,不抓取进程,不区分文件大小,不改变研发者使用计算机习惯,还要保证数据不能外泄,支持嵌入式这种带烧录的场景,最好还要安全系数高一些,至少要保证普通开发人员不能破解。一种是基于文件过滤层的文件加密,一种是基于驱动层的系统环境加密,各有千秋吧,但是源代码加密这种环境复杂的需求,后者更为合适。经过一周的测试,最终选型SDC。历时2个月的调研和选型,终于结束。虽然有点波折,但也学到了很多。有些知识,只有在实践中获得。感谢我的地中海PM和CTO。发布于 2021-12-23 14:36赞同 73 条评论分享收藏喜欢
勒索病毒防范措施与应急响应指南 - FreeBuf网络安全行业门户
勒索病毒防范措施与应急响应指南 - FreeBuf网络安全行业门户
主站 分类
漏洞
工具
极客
Web安全
系统安全
网络安全
无线安全
设备/客户端安全
数据安全
安全管理
企业安全
工控安全
特色
头条
人物志
活动
视频
观点
招聘
报告
资讯
区块链安全
标准与合规
容器安全
公开课
报告 专辑 ···公开课···商城···
用户服务
··· 行业服务
政 府
CNCERT
CNNVD
会员体系(甲方)
会员体系(厂商)
产品名录
企业空间
知识大陆 搜索 创作中心 登录注册 官方公众号企业安全新浪微博 FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。 FreeBuf+小程序把安全装进口袋 勒索病毒防范措施与应急响应指南
关注
终端安全企业安全 勒索病毒防范措施与应急响应指南
2019-08-30 08:00:09
所属地 广东省 此前我写过一篇文章《企业中了勒索病毒该怎么办?可以解密吗?》,里面介绍了很多解密的网站,并教了大家如何快速识别企业中了哪个勒索病毒家族,以及此勒索病毒是否有解密工具,也包含一些简单的勒索病毒应急处理方法,这篇我将重点讲解一下,作为一名安全应急响应人员,该如何去处理勒索病毒,可以给客户提供哪些勒索病毒防范措施和应急响应指导等。 关于勒索病毒,很多朋友在后台留言常常会问我这两个问题: 1.企业还没有中勒索,但领导很害怕,该如何防范呢?有哪些建议和指导 2.企业已经中了勒索,该如何快速进行应急响应?有哪些建议和指导 企业应该如何做好安全防护,主要从以下几个方面入手: 1.部署可靠高质量的防火墙、安装防病毒终端安全软件,检测应用程序、拦截可疑流量,使防病毒软件保持最新,设置为高强度安全防护级别,还可以使用软件限制策略防止未经授权的应用程序运行 2.关注最新的漏洞,及时更新电脑上的终端安全软件,修复最新的漏洞 3.关闭不必要的端口,目前发现的大部分勒索病毒通过开放的RDP端口进行传播,如果业务上无需使用RDP,建议关闭RDP,以防止黑客通过RDP爆破攻击 4.培养员工的安全意识,这点非常重要,如果企业员工不重视安全,迟早会出现安全问题,安全防护的重点永远在于人,人也是最大的安全漏洞,企业需要不定期给员工进行安全教育的培训,与员工一起开展安全意识培训、检查和讨论: 1)设置高强度的密码,而且要不定期进行密码的更新,避免使用统一的密码,统一的密码会导致企业多台电脑被感染的风险,此前我就遇到过一个企业内网的密码都使用同一个的情况,导致企业内部多台电脑被勒索加密 2)企业内部应用程序的管控与设置,所有的软件都由IT部门统一从正规的网站进行下载,进行安全检测之后,然后再分发给企业内部员工,禁止员工自己从非正规的网站下载安装软件 3)企业内部使用的office等软件,要进行安全设置,禁止宏运行,避免一些恶意软件通过宏病毒的方式感染主机 4)从来历不明的网站下载的一些文档,要经过安全检测才能打开使用,切不可直接双击运行 5)谨慎打开来历不明的邮件,防止被邮件钓鱼攻击和垃圾邮件攻击,不要随便点击邮件中的不明附件或快捷方式,网站链接等,防止网页挂马,利用漏洞攻击等 6)可以不定期进行安全攻防演练,模拟攻击等,让员工了解黑客有哪些攻击手法 7)可以给员工进行勒索病毒感染实例讲解,用真实的勒索病毒样本,进行模拟感染攻击,让员工了解勒索病毒的危害 5.养成良好的备份习惯,对重要的数据和文档进行定期非本地备份,可使用移动存储设置保存关键数据,同时要定期测试保存的备份数据是否完整可用 勒索病毒的特征一般都很明显,会加密磁盘的文件,并在磁盘相应的目录生成勒索提示信息文档或弹出相应的勒索界面,如果你发现你的文档和程序无法打开,磁盘中的文件被修改,桌面壁纸被替换,提示相应的勒索信息,要求支付一定的赎金才能解密,说明你的电脑中了勒索病毒。 企业中了勒索,该如何应急,主要从以下几个方面入手: 1.隔离被感染的服务器主机 拔掉中毒主机网线,断开主机与网络的连接,关闭主机的无线网络WIFI、蓝牙连接等,并拔掉主机上的所有外部存储设备 2.确定被感染的范围 查看主机中的所有文件夹、网络共享文件目录、外置硬盘、USB驱动器,以及主机上云存储中的文件等,是否已经全部加密了 3.确定是被哪个勒索病毒家族感染的,在主机上进行溯源分析,查看日志信息等 主机被勒索病毒加密之后,会在主机上留上一些勒索提示信息,我们可以先去加密后的磁盘目录找到勒索提示信息,有些勒索提示信息上就有这款勒索病毒的标识,显示是哪一种勒索病毒,比方GandCrab的勒索提示信息,最开始都标明了是哪一个版本的GandCrab勒索病毒版本,可以先找勒索提示信息,再进行溯源分析 溯源分析一般通过查看主机上保留的日志信息,以及主机上保留的样本信息,通过日志可以判断此勒索病毒可能是通过哪种方式进来的,比方发现文件被加密前某个时间段有大量的RDP爆破日志,并成功通过远程登录过主机,然后在主机的相应目录发现了病毒样本,可能猜测这款勒索病毒可能是通过RDP进来的,如果日志被删除了,就只能去主机上找相关的病毒样本或可疑文件,通过这些可疑的文件来猜测可能是通过哪种方式进来的,比方有些是能过银行类木马下载传播的,有些是通过远控程序下载传播的,有些是通过网页挂马方式传播的,还可以去主机的浏览器历史记录中去找相关的信息等等 4.找到病毒样本,提取主机日志,进行溯源分析之后,关闭相应的端口、网络共享、打上相应的漏洞补丁,修改主机密码,安装高强度防火墙,防病毒软件等措施,防止被二次感染勒索 5.进行数据和业务的恢复,如果主机上的数据存在备份,则可以还原备份数据,恢复业务,如果主机上的数据没有备份,可以在确定是哪种勒索病毒家族之后,查找相应的解密工具,解密工具网站可以看我上一篇文章中提到的,事实上现在大部分流行勒索病毒并没有解密工具,如果数据比较重要,业务又急需恢复,可以考虑使用下面方式尝试恢复数据和业务: 1)可以通过一些磁盘数据恢复手段,恢复被删除的文件 2)可以跟一些第三方解密中介或直接通过邮件的方式联系黑客进行协商解密(但不推荐),可能就是因为现在交钱解密的企业越来越多,导致勒索病毒家族变种越来越多,攻击越来越频繁,还有很多企业中了勒索病毒暗地里就交钱解密了 现在很多勒索病毒都使用邮件或解密网站,要求受害者通过这些网站进行解密操作,而且都是使用BTC进行交易,而且功能非常完善,下面我们就来分析一下最近很流行的Sodinokibi勒索病毒的解密网站,如下所示: 网站的主机提示你被加密了,需要支持0.24790254的BTC(=2500美元),如果超过了时间限制,则可能需要支付0.49580508的BTC(=5000美元) 黑客还担心受害者不知道BTC是啥,事实上国内有些企业中了勒索,想交赎金,但不知道BTC从哪里来,于时黑客就给出了详细的步骤教受害者如何进行解密,以及如果购买BTC操作等,如下所示: 黑客还建议了受害者通过https://www.blockchain.com/explorer这个网站注册BTC钱包,然后购买相应的BTC,再将BTC转入黑客的BTC钱包帐户,同时黑客还提示了使用多种方式可以购买BTC的链接,如下所示: 还贴出来了相应的链接,指导受害者如何购买BTC的详细教程等等,如下所示: 同时黑客还怕受害者不相信可以解密,可以帮受害者免费解密几个文件,但不包含大的数据文件,只能是10MB以下的,如下所示: BTC注册网站: https://www.blockchain.com BTC购买链接: https://www.coinmama.com/ https://www.korbit.co.kr/ https://www.coinfloor.co.uk/ https://coinfinity.co/ https://www.bitpanda.com/en https://btcdirect.eu/ https://www.paymium.com/ https://bity.com/ https://www.coincorner.com/ https://www.happycoins.com https://www.bitfinex.com/ https://poloniex.com/ https://cex.io/ https://www.huobi.com/ https://bittylicious.com/ https://coincafe.com/ https://www.coinhouse.com https://safello.com/ https://localbitcoins.com/ https://www.virwox.com/ https://www.bitquick.co/ https://wallofcoins.com https://libertyx.com https://bitit.io/ https://coinatmradar.com/ BTC如何购买: https://howtobuybitcoins.info/ https://bittybot.co/eu/ https://www.buybitcoinworldwide.com/ http://bitcoin-net.com/ 黑客还开通了聊天窗口,可以跟黑客进行沟通协商,讨价还价等等,如下所示: 从上面可以看出黑客为了让受害者能交付赎金,做了一个专门的网站进行指导,可以看出这款勒索病毒背后一定是有一支强大的运营团队 最后友善提醒: 不建议企业向黑客支付BTC,也不建议企业找第三方中介解密,因为这样会促长这个行业的不断增加,现在大部分勒索病毒无法解密,请各企业做好相应的防范措施,按上面的一些指导方法和建议进行勒索病毒的防御,勒索病毒的重点在于防御! *本文作者:熊猫正正,转载须注明来自FreeBuf.COM 本文作者:,
转载请注明来自FreeBuf.COM # 应急响应 # 勒索病毒 # 防范
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
展开更多
相关推荐
关 注 0 文章数 0 关注者 本站由阿里云 提供计算与安全服务 用户服务 有奖投稿 提交漏洞 参与众测 商城 企业服务 安全咨询 产业全景图 企业SRC 安全众测 合作信息 斗象官网 广告投放 联系我们 友情链接 关于我们 关于我们 加入我们 微信公众号 新浪微博 战略伙伴 FreeBuf+小程序 扫码把安全装进口袋 斗象科技 FreeBuf 漏洞盒子 斗象智能安全平台 免责条款 协议条款
Copyright © 2020 WWW.FREEBUF.COM All Rights Reserved
沪ICP备13033796号
|
沪公安网备
勒索病毒的防范处理措施-信息中心(网信办)
勒索病毒的防范处理措施-信息中心(网信办)
站内搜索
设为首页 |
学校主页 |
中心首页
首页
网络安全资讯
安全防护通报
安全法规
漏洞信息
网络安全知识
网络安全宣传周
网络安全知识
首页
网络安全资讯
安全防护通报
安全法规
漏洞信息
网络安全知识
网络安全宣传周
您当前所在的位置:
首页
->
网络安全知识
->
正文
勒索病毒的防范处理措施
发布日期:2021-09-10 来源: 点击量:
自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模暴发以来,勒索病毒对政企机构和网民的威胁极大:企业数据泄露风险不断上升,数百万甚至上亿赎金的勒索案件不断出现。
2021年3月,全球新增活跃勒索病毒:FancyBear、Hog、DearCry、Sarbloh、BadGopher、RunExeMemory、Phoenix CryptoLocker等。其中FancyBear还处于开发阶段,DearCry是本月最先被捕获使用Exchange漏洞投发勒索病毒的家族,新出现的PhoenixCryptoLocker可能与Evil黑客组织相关。
勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。本文介绍了一些勒索病毒的防范和处理措施,希望能够帮助读者免受勒索病毒侵害。
一、如何判断病情
如何判断计算机是否中了勒索病毒呢?勒索病毒有区别于其他病毒的明显特征:加密受害者主机的文档和数据,然后对受害者实施勒索,从中非法谋取私利。勒索病毒的主要目的是为了勒索,黑客在植入病毒完成加密后,会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。如果计算机出现了以下特征,可表明已经中了勒索病毒。
1、电脑桌面被篡改
服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式。
下面为电脑感染勒索病毒后,几种典型的桌面发生变化的示意图。
2、文件后缀被篡改
服务器感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件扩展名被篡改。一般来说,文件扩展名会被改成勒索病毒家族的名称或其家族代表标志,如:GlobeImposter家族的扩展名为dream、TRUE、CHAK等;Satan家族的扩展名有satan、sicck;Crysis家族的扩展名有ARROW、arena等。
二、如何进行自救
1、正确处置方法
(一)隔离中招主机
处置方法
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
1)物理隔离
物理隔离常用的操作方法是断网和关机。
断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
2)访问控制
访问控制常用的操作方法是加策略和修改登录密码。
加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。
修改登录密码的主要操作为:立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码;第三,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
处置原理
隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。
有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪。
另外,近期也发现有黑客会以暴露在公网上的主机为跳板,再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击,造成更大规模的破坏。
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。
(二)排查业务系统
处置方法
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
处置原理
业务系统的受影响程度直接关系着事件的风险等级。评估风险,及时采取对应的处置措施,避免更大的危害。
另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。
所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。
(三)联系专业人员
在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。
2、错误处置方法
(一)使用移动存储设备
错误操作
当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。
错误原理
勒索病毒通常会对感染电脑上的所有文件进行加密,所以当插上U盘或移动硬盘时,也会立即对其存储的内容进行加密,从而造成损失扩大。从一般性原则来看,当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。
所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用U盘、移动硬盘等设备。
(二)读写中招主机上的磁盘文件
错误操作
当确认服务器已经被感染勒索病毒后,轻信网上的各种解密方法或工具,自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。
错误原理
很多流行勒索病毒的基本加密过程为:
1)首先,将保存在磁盘上的文件读取到内存中;
2)其次,在内存中对文件进行加密;
3)最后,将修改后的文件重新写到磁盘中,并将原始文件删除。
也就是说,很多勒索病毒在生成加密文件的同时,会对原始文件采取删除操作。理论上说,使用某些专用的数据恢复软件,还是有可能部分或全部恢复被加密文件的。
而此时,如果用户对电脑磁盘进行反复的读写操作,有可能破坏磁盘空间上的原始文件,最终导致原本还有希望恢复的文件彻底无法恢复。
三、如何恢复系统
1、历史备份还原
如果事前已经对文件进行了备份,那么我们可以直接从云盘、硬盘或其他灾备系统中,恢复被加密的文件。值得注意的是,在文件恢复之前,应确保系统中的病毒已被清除,已经对磁盘进行格式化或是重装系统,以免插上移动硬盘的瞬间,或是网盘下载文件到本地后,备份文件也被加密。
事先进行备份,既是最有效也是成本最低的恢复文件的方式。
2、解密工具恢复
绝大多数勒索病毒使用的加密算法都是国际公认的标准算法,这种加密方式的特点是,只要加密密钥足够长,普通电脑可能需要数十万年才能够破解,破解成本是极高的。通常情况,如果不支付赎金是无法解密恢复文件的。
但是,对于以下三种情况,可以通过各大安全厂商提供的解密工具恢复感染文件:
1)勒索病毒的设计编码存在漏洞或并未正确实现加密算法;
2)勒索病毒的制造者主动发布了密钥或主密钥;
3)执法机构查获带有密钥的服务器,并进行了分享。
通过查询可靠安全厂商的网站,可以了解哪些勒索病毒可以被解密,同时采取相应措施。
3、重装系统
当文件无法解密,也觉得被加密的文件价值不大时,也可以采用重装系统的方法,恢复系统。但是,重装系统意味着文件再也无法被恢复。另外,重装系统后需更新系统补丁,并安装杀毒软件和更新杀毒软件的病毒库到最新版本,而且对于服务器也需要进行针对性的防黑加固。
4、如何加强防护
虽说部分勒索病毒目前已有解密工具,但勒索病毒制作成本低、利润高,新型勒索病毒层出不穷,并不是所有的勒索病毒都能进行解密。因此,加强勒索病毒的防护比中了勒索病毒之后再进行补救要有效得多。
对于高校师生,加强防护主要有以下相应措施:
养成良好的安全习惯
1)电脑应当安装具有云防护和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易放行。
2)使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和常用软件打好补丁,定期更新病毒库,以免病毒利用漏洞自动入侵电脑。
3)电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。
4)重要文档数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
减少危险的上网操作
5)不要浏览来路不明的不良信息网站,这些网站经常被用于发动挂马、钓鱼攻击。
6)不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。
7)电脑连接移动存储设备,如U盘、移动硬盘等,应首先使用安全软件检测其安全性。
8)对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
上一条:四格漫画丨网上冲浪第一步 个人隐私要保护
下一条:Incaseformat病毒简单处理方式
Copyright 2010-2021 Powered By 山西传媒学院
文华校区:山西省高校新区文华街125号(晋中市榆次区),邮编:030619
东华校区:山西省太原市五龙口街118号,邮编:030013 晋ICP备08101804号-1 晋公网安备 14070202000062号
勒索病毒的防范处理措施-东南大学网络与信息中心
勒索病毒的防范处理措施-东南大学网络与信息中心
部门概况+
部门简介
机构设置
大事记
联系我们
服务指南+
校园网账户
电子邮件
VPN
东大云盘
智慧校园
软件正版化
IPv6
移动服务
eduroam
校园卡
网络管理+
校园网拓扑图
校内IP管理
网络安全+
网络安全预警信息
网络安全实用知识
网络安全新闻资讯
规章制度+
互联网法规
校园网规章制度
中心管理制度
部门党建
成果展示
公示信息
下载专区
网络安全
Network Security
当前位置:
首页
>
网络安全
>
网络安全实用知识
>
正文
勒索病毒的防范处理措施
日期:2021-04-23阅读: 次
自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模爆发以来,勒索病毒对政企机构和网民的威胁极大:企业数据泄露风险不断上升,数百万甚至上亿赎金的勒索案件不断出现。
2021年3月,全球新增活跃勒索病毒:FancyBear、Hog、DearCry、Sarbloh、BadGopher、RunExeMemory、Phoenix CryptoLocker等。其中FancyBear还处于开发阶段,DearCry是本月最先被捕获使用Exchange漏洞投发勒索病毒的家族,新出现的PhoenixCryptoLocker可能与Evil黑客组织相关。
勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。本文介绍了一些勒索病毒的防范和处理措施,希望能够帮助读者免受勒索病毒侵害。
一、如何判断病情
如何判断计算机是否中了勒索病毒呢?勒索病毒有区别于其他病毒的明显特征:加密受害者主机的文档和数据,然后对受害者实施勒索,从中非法谋取私利。勒索病毒的主要目的是为了勒索,黑客在植入病毒完成加密后,会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。如果计算机出现了以下特征,可表明已经中了勒索病毒。
1、电脑桌面被篡改
服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式。
下面为电脑感染勒索病毒后,几种典型的桌面发生变化的示意图。
2、文件后缀被篡改
服务器感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件扩展名被篡改。一般来说,文件扩展名会被改成勒索病毒家族的名称或其家族代表标志,如:GlobeImposter家族的扩展名为dream、TRUE、CHAK等;Satan家族的扩展名有satan、sicck;Crysis家族的扩展名有ARROW、arena等。
二、如何进行自救
1、正确处置方法
(一)隔离中招主机
处置方法
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
1)物理隔离
物理隔离常用的操作方法是断网和关机。
断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
2)访问控制
访问控制常用的操作方法是加策略和修改登录密码。
加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。
修改登录密码的主要操作为:立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码;第三,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
处置原理
隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。
有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪。
另外,近期也发现有黑客会以暴露在公网上的主机为跳板,再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击,造成更大规模的破坏。
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。
(二)排查业务系统
处置方法
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
处置原理
业务系统的受影响程度直接关系着事件的风险等级。评估风险,及时采取对应的处置措施,避免更大的危害。
另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。
所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。
(三)联系专业人员
在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。
2、错误处置方法
(一)使用移动存储设备
错误操作
当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。
错误原理
勒索病毒通常会对感染电脑上的所有文件进行加密,所以当插上U盘或移动硬盘时,也会立即对其存储的内容进行加密,从而造成损失扩大。从一般性原则来看,当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。
所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用U盘、移动硬盘等设备。
(二)读写中招主机上的磁盘文件
错误操作
当确认服务器已经被感染勒索病毒后,轻信网上的各种解密方法或工具,自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。
错误原理
很多流行勒索病毒的基本加密过程为:
1)首先,将保存在磁盘上的文件读取到内存中;
2)其次,在内存中对文件进行加密;
3)最后,将修改后的文件重新写到磁盘中,并将原始文件删除。
也就是说,很多勒索病毒在生成加密文件的同时,会对原始文件采取删除操作。理论上说,使用某些专用的数据恢复软件,还是有可能部分或全部恢复被加密文件的。
而此时,如果用户对电脑磁盘进行反复的读写操作,有可能破坏磁盘空间上的原始文件,最终导致原本还有希望恢复的文件彻底无法恢复。
三、如何恢复系统
1、历史备份还原
如果事前已经对文件进行了备份,那么我们可以直接从云盘、硬盘或其他灾备系统中,恢复被加密的文件。值得注意的是,在文件恢复之前,应确保系统中的病毒已被清除,已经对磁盘进行格式化或是重装系统,以免插上移动硬盘的瞬间,或是网盘下载文件到本地后,备份文件也被加密。
事先进行备份,既是最有效也是成本最低的恢复文件的方式。
2、解密工具恢复
绝大多数勒索病毒使用的加密算法都是国际公认的标准算法,这种加密方式的特点是,只要加密密钥足够长,普通电脑可能需要数十万年才能够破解,破解成本是极高的。通常情况,如果不支付赎金是无法解密恢复文件的。
但是,对于以下三种情况,可以通过各大安全厂商提供的解密工具恢复感染文件:
1)勒索病毒的设计编码存在漏洞或并未正确实现加密算法;
2)勒索病毒的制造者主动发布了密钥或主密钥;
3)执法机构查获带有密钥的服务器,并进行了分享。
通过查询可靠安全厂商的网站,可以了解哪些勒索病毒可以被解密,同时采取相应措施。
3、重装系统
当文件无法解密,也觉得被加密的文件价值不大时,也可以采用重装系统的方法,恢复系统。但是,重装系统意味着文件再也无法被恢复。另外,重装系统后需更新系统补丁,并安装杀毒软件和更新杀毒软件的病毒库到最新版本,而且对于服务器也需要进行针对性的防黑加固。
4、如何加强防护
虽说部分勒索病毒目前已有解密工具,但勒索病毒制作成本低、利润高,新型勒索病毒层出不穷,并不是所有的勒索病毒都能进行解密。因此,加强勒索病毒的防护比中了勒索病毒之后再进行补救要有效得多。
对于高校师生,加强防护主要有以下相应措施:
养成良好的安全习惯
1)电脑应当安装具有云防护和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易放行。
2)使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和常用软件打好补丁,定期更新病毒库,以免病毒利用漏洞自动入侵电脑。
3)电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。
4)重要文档数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
减少危险的上网操作
5)不要浏览来路不明的不良信息网站,这些网站经常被用于发动挂马、钓鱼攻击。
6)不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。
7)电脑连接移动存储设备,如U盘、移动硬盘等,应首先使用安全软件检测其安全性。
8)对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
网络安全预警信息
网络安全实用知识
网络安全新闻资讯
国内资讯
国外资讯
部门概况
服务指南
网络管理
网络安全
规章制度
部门党建
成果展示
公示信息
下载专区
"东大信息化"微信公众号
"东大信息化"APP
通信地址1:南京江宁开发区东南大学路2号东南大学网络与信息中心
邮政编码:211189
办公地点:九龙湖校区金智楼北楼二楼
通信地址1:南京四牌楼2号东南大学网络与信息中心
邮政编码:210096
办公地点:进香河校区综合楼二楼
025-83790808
80808@seu.edu.cn
Copyright © 东南大学网络与信息中心 版权所有 苏ICP备10088665号 公安备案号:32010202010062
我是盾盾
勒索病毒应急措施及防护方案 - 知乎
勒索病毒应急措施及防护方案 - 知乎切换模式写文章登录/注册勒索病毒应急措施及防护方案safety fuse程序员 电影迷 喵奴随着国家在政府、企业、教育及医疗等行业“互联网+”战略的不断推进,各个行业在逐渐数字化、网络化、智能化、逐步拥抱产业互联网化的大浪潮过程中,也逐渐暴露出一系列网络安全问题。勒索病毒也乘机发难,疯狂敛财,影响日渐扩大。全球范围内的交通、能源、医疗等社会基础服务设施,成为勒索病毒攻击的目标。勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且用户无法读取原本正常的文件,对用户造成无法估量的损失。勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件,绝大多数勒索软件均无法通过技术手段解密,必须拿到对应的解密私钥才有可能无损还原被加密文件。黑客正是通过这样的行为向受害用户勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。为帮助更多的朋友在中了勒索病毒后,能够正确处置并及时采取必要的自救措施,阻止损失扩大。同时为了建立更有效的防护措施避免勒索病毒的攻击。本文介绍一些相关的应急处置办法和防护方案,希望能对广大朋友有所帮助。1.2019上半年勒索病毒攻击态势2019 年上半年共监控到受勒索病毒攻击的计算机 225.6 万台,处理反勒索申诉案件超过 1500 例。从攻击情况和威胁程度上看,勒索病毒攻击依然是当前国内计算机面临的最大安全威胁之一。在企业安全层面,勒索病毒威胁也已深入人心,成为企业最为担忧的安全问题。观察勒索病毒影响的行业,以传统行业与教育行业受害最为严重,互联网,医疗,企事业单位紧随其后。 2019上半年,勒索病毒的感染量一直稳定,累计被攻击的计算机超过250万台,时间分布上以2019年1月份最为活跃,2月到6月整体较为平稳,近期略有上升趋势。2.勒索病毒产业链随着勒索产业的迅速发展壮大,通过围绕数据加密,数据泄露,乃至诈骗等核心元素展开的网络勒索类型也是千姿百态。网络勒索具有匿名性、隐蔽性、便捷性等特点,深受黑产青睐。其中典型的勒索病毒作案实施过程如下,一次完整的勒索可能涉及5个角色(一人可能充当多个角色)。 勒索病毒作者:负责勒索病毒编写制作,与安全软件免杀对抗。通过在“暗网”或其它地下平台贩卖病毒代码,接受病毒定制,或出售病毒生成器的方式,与勒索者进行合作拿取分成。勒索者:从病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序,通过自定义病毒勒索信息后得到自己的专属病毒,与勒索病毒作者进行收入分成。传播渠道商:帮助勒索者传播勒索病毒,最为熟悉的则是僵尸网络,例Necurs、Gamut,全球有97%的钓鱼邮件由该两个僵尸网络发送。解密代理:向受害者假称自己能够解密各勒索病毒加密的文件,并且是勒索者提出赎金的50%甚至更低,但实际上与勒索者进行合作,在其间赚取差价。从世界范围内看,勒索病毒产业链养活了大量从事解密代理的组织,这些人直接购买搜索关键字广告,让勒索病毒受害企业通过他们完成解密交易,解密代理充当了中间人的角色,从中获取大量利益。受害者:通过勒索病毒各种传播渠道不幸中招的受害者,如有重要文件被加密,则向代理或勒索者联系缴纳赎金解密文件。 3.病毒勒索五大形式数据加密勒索:这种方式是当前受害群体最多、社会影响最广,勒索犯罪中最为活跃的表现形式,该方式通过加密用户系统内的重要资料文档,数据,再结合虚拟货币实施完整的犯罪流程。以GandCrab为代表的勒索集团当属该类勒索产业中的佼佼者,该黑产团伙在运营短短一年多的时间内,非法敛财20亿美元,该病毒也一度影响了包括我国在内的多个国家基础设施的正常运转,在我国境内制造了大量GandCrab病毒感染事件。系统锁定勒索:该形式勒索与数据加密勒索有着极大的相似性,在部分真实攻击场景中该方式也会结合数据加密勒索方式共同实施。这种方式的攻击重点不是针对磁盘文件,而是通过修改系统引导区,篡改系统开机密码等手段将用户系统锁定,导致用户无法正常登录到系统。通过该模式实施的勒索在电脑和安卓手机系统也较为常见。国内PC多见以易语言为代表编写的一系列锁机病毒,将病毒捆绑在破解工具、激活工具、游戏外挂中,欺骗用户通过论坛,网盘,下载站等渠道传播。数据泄漏勒索:该类型勒索通常情况针对企业实施,黑客通过入侵拿到企业内相关机密数据,随后敲诈企业支付一定金额的赎金,黑客收到赎金后称会销毁数据,否则将进入撕票流程,在指定时间将企业机密数据公开发布,以此要挟企业支付酬金。大规模的数据泄露对大企业而言不仅会造成严重的经济损失,也会为极大的负面影响。诈骗恐吓式勒索:此类型勒索与企业数据泄露造成的勒索有着相似点,针对个人用户隐私发起攻击。不同点为攻击者手中根本没有隐私数据,他们通过伪造、拼接与隐私有关的图片、视频、文档等等恐吓目标实施诈骗勒索。此类勒索者会大量群发诈骗邮件,当命中收件人隐私信息后,利用收件人的恐慌心理实施欺诈勒索。勒索过程中,受害者由于担心自己隐私信息遭受进一步的泄漏,容易陷入圈套,从而受骗缴纳赎金。破坏性加密数据掩盖入侵真相在部分涉及各行业重要数据,各国家机密数据的染毒场景中,有时也会发现一些不同于感染传统勒索病毒的案例。区别在于,观察此类染毒环境中可发现,病毒对部分文件会进行多次加密,甚至对文件进行了无法修复的破坏,且病毒不做白名单过滤,极易将系统直接搞崩溃。分析此类染毒场景可知病毒真实意图似乎更偏向于破坏,而不在于图财。部分黑客组织在实施APT攻击、窃取企业数据之后,为消除痕迹,会进一步投递破坏性的勒索病毒,将用户资料加密,部分APT攻击者的终极目的就是为了对目标基础设施打击以造成无法修复的损坏。勒索病毒的加密机制,让这些攻击行动变得较为常见,从而有利于黑客组织掩盖真实攻击意图。4.常见的勒索病毒GandCrabGandCrab勒索病毒首次出现于2018年1月,是国内首个使用达世币(DASH)作为赎金的勒索病毒,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件等各种方式传播。2018年10月16日,一位叙利亚用户在推特表示,GandCrab病毒加密了他的电脑文件,因无力支付勒索赎金,他再也无法看到因为战争丧生的小儿子的照片。随后GandCrab放出了叙利亚地区的部分密钥,并在之后的病毒版本中将叙利亚地区列入白名单不再感染,这也是国内有厂商将其命名为“侠盗勒索”的原因。2019年6月1日,GandCrab运营团队在某俄语论坛公开声明“从出道到现在的16个月内共赚到20多亿美金,平均每人每年入账1.5亿,并成功将这些钱洗白。同时宣布关闭勒索服务,停止运营团队,后续也不会放出用于解密的密钥,往后余生,要挥金如土,风流快活去”。2019年6月17日,Bitdefender联合罗马尼亚与欧洲多地区警方一起通过线上线下联合打击的方式,实现了对GandCrab最新病毒版本v5.2的解密。该事件也标志着GandCrab勒索团伙故事的终结。GlobeImposter2017年5月,勒索病毒Globelmposter首次在国内出现。2018年2月全国各大医院受Globelmposter勒索病毒攻击,导致医院系统被加密,严重影响了医院的正常业务。Globelmposter攻击手法都极其丰富,通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具。CrysisCrysis勒索病毒从2016年开始具有勒索活动 ,加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀,例:“id-编号.[gracey1c6rwhite@aol.com].bip”,其家族衍生Phobos系列变种在今年2月开始也有所活跃。该病毒通常使用弱口令爆破的方式入侵企业服务器,安全意识薄弱的企业由于多台机器使用同一弱密码,面对该病毒极容易引起企业内服务器的大面积感染,进而造成业务系统瘫痪。SodinokibiSodinokibi勒索病毒首次出现于2019年4月底,由于之后GandCrab停止运营事件,该病毒紧跟其后将GandCrab勒索家族的多个传播渠道纳入自身手中。该病毒目前在国内主要通过web相关漏洞和海量的钓鱼邮件传播,也被国内厂商称为GandCrab的“接班人”,从该病毒传播感染势头来看,毫无疑问是勒索黑产中的一颗上升的新星。WananCryWannaCry于2017年5月12日在全球范围大爆发,引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry在短时间内影响近150个国家,致使多个国家政府、教育、医院、能源、通信、交通、制造等诸多关键信息基础设施遭受前所未有的破坏,勒索病毒也由此事件受到空前的关注,由于当前网络中仍有部分机器未修复漏洞,所以该病毒仍然有较强活力(大部分加密功能失效)。StopStop勒索病毒家族在国内主要通过软件捆绑、垃圾邮件等方式进行传播,加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒会留下名为_readme.txt的勒索说明文档,勒索980美元,并声称72小时内联系病毒作者将获得50%费用减免,同时,该病毒除加密文件外,还具备以下行为特点。加密时,禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能;通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站;因病毒执行加密时,会造成系统明显卡顿,为掩人耳目,病毒会弹出伪造的Windows 自动更新窗口;释放一个被人为修改后不显示界面的TeamViewer模块,用来实现对目标电脑的远程控制;下载AZORult窃密木马,以窃取用户浏览器、邮箱、多个聊天工具的用户名密码。ParadiseParadise勒索病毒最早出现于2018年7月,该病毒勒索弹窗样式与Crysis极为相似,勒索病毒加密文件完成后将修改文件名为以下格式:[原文件名]_[随机字符串]_{邮箱}.随机后缀,并留下名为Instructions with your files.txt或###_INFO_you_FILE_###.txt 的勒索说明文档。ClopClop勒索病毒使用RSA+RC4的方式对文件进行加密,与其他勒索病毒不同的是,Clop勒索病毒部分情况下携带了有效的数字签名,数字签名滥用,冒用以往情况下多数发生在流氓软件,窃密类木马程序中。勒索病毒携带有效签名的情况极为少见,这意味着该病毒在部分拦截场景下更容易获取到安全软件的信任,进而感染成功,对企业造成无法逆转的损失。SCarabScarab索病毒主要利用Necurs僵尸网络进行传播,在国内也有发现通过RDP过口令爆破后投毒。该家族变种较多,部分变种感染后外观展现形态差异较大,例如今年3月份我国部分企业感染的ImmortalLock(不死锁)病毒则为Scarab家族在国内活跃的一个变种。MazeMaze(迷宫)勒索病毒也叫ChaCha勒索病毒,擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破解)、盗版影视作品下载,以及某些软件内嵌的广告页面,该病毒的特点之一是自称根据染毒机器的价值来确认勒索所需的具体金额。5.勒索病毒攻击手段弱口令计算机中涉及到口令爆破攻击的暴露面,主要包括远程桌面弱口令、SMB 弱口令、数据库管理系统弱口令(例如 MySQL、SQL Server、Oracle 等)、Tomcat 弱口令、phpMyAdmin 弱口令、VNC 弱口令、FTP 弱口令等。因系统遭遇弱口令攻击而导致数据被加密的情况,也是所有被攻击情况的首位。钓鱼和垃圾邮件比如 Sodinokibi 勒索病毒,就大量使用钓鱼邮件进行传播。攻击者伪装成 DHL向用户发送繁体中文邮件,提示用户的包裹出现无限期延误,需要用户查看邮件附件中的“文档”后进行联络。但实际该压缩包内是伪装成文档的勒索病毒。 利用漏洞目前,黑客用来传播勒索病毒的系统漏洞、软件漏洞,大部分都是已被公开且厂商已经修补了的安全问题,但并非所有用户都会及时安装补丁或者升级软件,所以即使是被修复的漏洞(Nday 漏洞)仍深受黑客们的青睐。一旦有利用价值高的漏洞出现,都会很快被黑客加入到自己的攻击工具中。常见系统漏洞Confluence RCE 漏洞 CVE-2019-3396WebLogic 反序列化漏洞 cve-2019-2725 Windows 内核提权漏洞 CVE-2018-8453 JBoss 反序列化漏洞 CVE-2017-12149 JBoss 默认配置漏洞 CVE-2010-0738 JBoss 默认配置漏洞 CVE-2015-7501 WebLogic 反序列化漏洞 CVE-2017-10271 “永恒之蓝”相关漏洞 CVE-2017-0146 Struts 远程代码执行漏洞 S2-052(仅扫描)CVE-2017-9805 WebLogic 任意文件上传漏洞 CVE-2018-2894 Spring Data Commons 远程代码执行漏洞 CVE-2018-1273 网站挂马如今年 3 月份再次活跃的 Paradise勒索病毒,就是通过网站挂马的方式进行传播的。攻击者使用了在暗网上公开售卖的Fallout Exploit Kit 漏洞利用工具进行攻击,该漏洞利用工具之前还被用来传播 GandCrab和一些其它恶意软件。如果访问者的机器存在漏洞,那么在访问这些被挂马站点时,就极有可能感染木马病毒。在使用的漏洞方面,Windows 自身漏洞和 flash 漏洞是网页挂马中,最常被使用到的漏洞。比如 CVE-2018-4878 flash 漏洞和 CVE-2018-8174 Windows VBScript 引擎远程代码执行漏洞就被用来传播 GandCrab。 破解与激活工具如国内流行的一些系统激活工具中,多次被发现携带有下载器,rootkit 木马,远控木马等。STOP 勒索病毒便是其中一类,从去年年底开始活跃的 STOP 勒索病毒,通过捆绑在一些破解软件和激活工具中,当用户下载使用这些软件时,病毒便被激活,感染用户计算机,加密计算机中的文件。通过U盘感染经常使用U盘共享拷贝文件,容易造成病毒传播和交叉感染。6.勒索病毒入侵过程病毒入侵的本质:虽病毒类型各异,但从病毒入侵的过程是存在共性的,这与洛克希德-马丁公司提出的“网络杀伤链”理论非常契合。即整个入侵过程,一般会经历侦查跟踪、武器构建、载荷投送、漏洞利用、安装植入、命令与控制、目标达成七个阶段。“杀伤链”这个概念源自军事领域,它是一个描述攻击环节的六阶段模型,该理论也可以用来反制此类攻击(即反杀伤链)。这就像传统的盗窃流程。小偷要先踩点再溜入目标建筑,一步步实行盗窃计划最终卷赃逃逸。7.勒索病毒中毒特征首先如何判断服务器中了勒索病毒呢?勒索病毒区别于其他病毒的明显特征:加密受害者主机的文档和数据,然后对受害者实施勒索,从中非法谋取私利。勒索病毒的收益极高,所以大家才称之为“勒索病毒”。勒索病毒的主要目的既然是为了勒索,那么黑客在植入病毒完成加密后,必然会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。所以,勒索病毒有明显区别于一般病毒的典型特征。如果服务器出现了以下特征,即表明已经中了勒索病毒。8.勒索病毒自救措施当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。例如:与被感染主机相连的其他服务器也存在漏洞或是有缺陷,将有可能也被感染。所以,采取自救措施的目的是为了及时止损,将损失降到最低。正确处置方法(一) 隔离中招主机当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。物理隔离物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。访问控制访问控制常用的操作方法是加策略和修改登录密码。加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。修改登录密码的主要操作为:立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码;第三,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪。另外,近期也发现有黑客会以暴露在公网上的主机为跳板,再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击,造成更大规模的破坏。当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。(二) 排查业务系统在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。业务系统的受影响程度直接关系着事件的风险等级。评估风险,及时采取对应的处置措施,避免更大的危害。另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。(三) 联系专业人员在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。错误的处置方法(一) 使用移动存储设备当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用U盘、移动硬盘等设备。(二) 读写中毒主机上的磁盘文件当确认服务器已经被感染勒索病毒后,轻信网上的各种解密方法或工具,自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。访问“拒绝勒索软件”网站,该网站是一项由荷兰国家警察高科技犯罪单位、欧洲刑警组织下属欧洲网络犯罪中心, 卡巴斯基实验室和英特尔公司(英特尔安全)网络保安全公司所推动的计划,旨在帮助勒索软件的受害者重新取回其加密数据,而无需支付赎金。但是这个网站提供的解密密钥仅仅限于已经被破解或被各国执法机构查获的勒索病毒密钥。因此只能做为一个参考,最重要的工作还是做好日常的防护工作。9.加强管理制度建设预防勒索病毒定期进行安全培训,做到“三不三要”杜绝弱口令系,加强口令管理对网络信息资产进行全面核查培养专业的网络安全管理人才对重要的网络服务进行远程访问限制重要的关键业务系统必须做好备份方案10.勒索病毒立体防护解决方案使用单一的安全产品或是单一的技术手段(如防火墙、IPS、杀毒软件)在面对勒索病毒的入侵时,往往面临“时效、单点、溯源”三大核心问题。一旦某一点被突破,特别是新型的病毒,则会直接碰触到业务系统及数据。为此勒索病毒防护必须依赖于全面的防护思路,通过多层、多维的防护措施,构建完整立体的病毒防护体系。第一道防线利用防火墙、上网行为管理等拦截侦查跟踪、武器构建、载荷投送三个阶段的攻击;第二道防线利用WAF防火墙、反垃圾邮件系统、漏洞扫描、终端安全系统、堡垒机以及流量分析系统来拦截漏洞利用、安装植入、命令与控制三个阶段的攻击;第三道防线最后使用数据备份系统建立最后的保障,以确保万一被黑客目标达成攻击后,可以使用备份的数据用以恢复业务系统的运行。注:备份是防止勒索病毒最后的保障,也是最重要的手段。做备份以注意以下几点:A、备份文件不要保存在本机上(否则病毒会将你的备份文件同时加密)。安全备份的原则是321原则,即保存三份数据副本,存储在两种不同的介质上,其中一份在异地。B、不要采用同步复制的方式(不然被加密的文件也会同步复制过覆盖原备份文件)。同步复制的方式固然可以将损失减少到最小,但一般只针对硬件故障,对于病毒、人为因素等逻辑错误无法恢复。————————————————原文链接:勒索病毒应急措施及防护方案_军哥系统集成号的博客-CSDN博客_勒索应急发布于 2022-08-31 18:21勒索病毒赞同 11 条评论分享喜欢收藏申请
勒索病毒防护方案 - 从安全运营视角讲起 - FreeBuf网络安全行业门户
勒索病毒防护方案 - 从安全运营视角讲起 - FreeBuf网络安全行业门户
主站 分类
漏洞
工具
极客
Web安全
系统安全
网络安全
无线安全
设备/客户端安全
数据安全
安全管理
企业安全
工控安全
特色
头条
人物志
活动
视频
观点
招聘
报告
资讯
区块链安全
标准与合规
容器安全
公开课
报告 专辑 ···公开课···商城···
用户服务
··· 行业服务
政 府
CNCERT
CNNVD
会员体系(甲方)
会员体系(厂商)
产品名录
企业空间
知识大陆 搜索 创作中心 登录注册 官方公众号企业安全新浪微博 FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。 FreeBuf+小程序把安全装进口袋 勒索病毒防护方案 - 从安全运营视角讲起
关注
Web安全 勒索病毒防护方案 - 从安全运营视角讲起
2023-05-19 16:41:44
所属地 北京 0x00 前言在当前新的背景下,国家政策层面上对企业的网络安全、数据安全和个人信息保护提出了更高的要求。在勒索防护领域,勒索软件除了在本地加密重要文件外,还具备了信息泄露的特性。其攻击团伙开始使用更加复杂的技术手段,发展成了自闭环产业链。攻击对象从一般民众,开始转向国家政企机关以及相关从业人员。为了防御复杂的勒索攻击,企业必须结合多种防御手段来降低被勒索的风险。本文介绍了勒索病毒的现状,列举了时下流行的勒索病毒家族,重点分析了当下典型的勒索病毒,归纳勒索病毒发展的背后逻辑。随后,结合浪潮云的基建、勒索病毒的流行趋势、主流安全厂商的勒索防护方案,以及针对这些厂商进行勒索防护能力进行的测试结果,提出勒索防护的解决方案。0x01 勒索病毒现状(一)现状2022年度勒索软件整体传播趋势相对平稳,虽然每月都有新增的勒索病毒家族,各个家族也在不断迭代,但是全年并没有出现特别大规模的勒索事件。纵观近5年的发展过程,勒索病毒形成了一条供销分明的完整产业链。勒索病毒的功能、入侵手段开始多样化,基于虚拟货币的匿名性和隐私性,以虚拟货币作为交易的方式依旧是主流。并且,勒索软件的传播手段出现了蹭热点,获利形式从单纯的经济利益,出现了表达政治主张,在地缘政治冲突中偏袒一方。可以预见,将来勒索病毒,出于某些目的,对于国家机关和政府部门的攻击将会逐渐增加。(二)勒索病毒攻击简介2022年的勒索病毒没有爆发性增长,整体相对平稳。RDP口令爆破依然是最常见的勒索病毒入侵传播方式,但是各种其他传播方式出现了爆发式增长,国内新出现的coffee勒索病毒体则现出了很鲜明的本土特色。(三)勒索病毒攻击趋势从公开数据统计来看,总体有一定波动,但是并没有出现较大的爆发现象。但是勒索病毒并没有消减的趋势,根据相关数据,2022年度,每个月份均有新勒索病毒出现。月份新增传统勒索家族新增双重/多重勒索家族1月Coffee、DeadBolt、Koxic、Trap、EvilNominatusNightSky2月Sutur、D3adCrypt、Sojusz、Unlock、IIMxT3月FarAttack、Venus、Sojusz、KalajaTomorr、GoodWill、AntiWar、IceFire、AcepyPandora4月Pipikaki、BlockZ、Phantom、BlazeOnyx、Industrial Spy、BlackBasta5月7Locker、EAF、QuickBubck、PSRansomCheers、RansomHouse、Mindware6月BlueSky、Agenda、Kawaii、DamaCrypt、RedTeamCrimson Walrus、SiegedSec7月Stop247、RoBaj、Checkmate、LunaRedAlert、Lilith、BianLian、0mega8月Moishsa、Filerec、iceFire、CryptOnD0N#T (Donut Leaks)、iceFire、CryptOn、Bl00dy、DAIXIN、VSOP9月Ballacks、BlackBit、DoyUKz6wkg、Sparta10月Prestige、Ransom CartelSexyPhotos、Azov11月PCOK、SomniaRoyal、Play12月Seoul、Lucknite、Blocky、HentaiLocker图表 2 2022年月度新增勒索家族尽管没有出现大面积爆发,但是勒索病毒的勒索金呈现逐年上升的趋势,但是2022年度的勒索收益有些许下降,但是依然高于2020年度,疑似受到大经济环境影响。双重/多重勒索家族,以及出现的勒索团伙介入地区热点事件,也可以理解为勒索团伙开始探索新的盈利模式。(四)重点勒索病毒家族分析2022年度的勒索病毒除了传统的RDP口令爆破来实现病毒突破和扩散外,还具有一些新的特性。这些勒索团伙出现本土化,组织专业化,并且开始针对国家政企和介入地缘政治,表达政治诉求,站队,站边。下面将依次对值得单独分析的病毒进行一些细节分析。(1)本土Coffee病毒分析该病毒以其加密后的文件后缀修改为coffee.xxxx(x为随机数)因此命名。如图表 2 2022年月度新增勒索家族 所示,该病毒出现与2022年1月。为国内新出现的勒索家族。该病毒具备蠕虫性质的勒索软件,出现时并不是以主流的RDP口令爆破来实现初始突破,而是通过软件捆绑和QQ群钓鱼传播,具备非常明显的国内特色。在维持阶段会感染系统中的常用软件,在横向移动阶段会将自己发到其他QQ群中进行传播,在影响阶段,则会向玩家所要ZEC(零币)还附上了全中文教程。在2月份的时候,该病毒出现了新的变化,开始针对高校教师和科研人员发起勒索攻击。在保留先前特性外,还会通过以《2021年度本单位职工个税补缴名单》的钓鱼邮件进行传播,目标主要是《国家自然科学基金》项目的高校教师和科研人员。2022年12月,该勒索家族又出现新的变种。该变种对加密触发方式,加密格式,等进行了更新调整。在原有76种会被加密的文件外,新增了SQL辅助数据库文件加密;加密触发方式从原有的主动触发,变成了锁屏时,或者伪装成系统更新,在关机注销时进行加密;潜伏期最多可长达15天;使用DNS隧道技术获取C2信息;综上所述,该病毒通过版本迭代,具备了更强的隐蔽性,提高了自身的免杀能力。(2)国家进入紧急状态Conti病毒首次被发现与2019年。在2022年5月8日,哥斯达黎加宣布国家进入紧急状态,理由是多个政府机构正遭到Conti勒索软件攻击。先前Conti组织就宣称对哥斯达黎加政府进行了攻击。截止2022年5月20日,该组织已经发布了大约672GB的数据,其中包含了属于哥斯达黎加政府机构的数据。Conti勒索病毒从2019年发展至今,已经具备了一定的规模,组织团队也已经演变成一个专业化团队。在俄乌冲突中,公开支持俄罗斯。从Conti勒索样本的二进制分析中可以看到,其工作流程在启动之后,首先会关闭一系列影响文件操作的系统服务,尽可能释放计算机文件加密的性能。然后会删除本机一切备份数据,包括但不限于SQL备份,windows磁盘备份卷。然后使用IOCP技术,对文件进行异步加密,实现高吞吐,高效率的文件加密。最后创建勒索文档。根据乌克兰安全人员透露的信息归纳,其组织架构顶层是大老板Stern。下面分别是HR管理层,技术团队,谈判专家,有极强的专业分工。HR团队负责新鲜血液的招募和人力资源提效,逆向工程师和攻击团队的引入,体现了该团队非常专业的攻防突破能力。谈判专家的出现,也体现了其对价值回收环节的重视,作为黑客团伙具备极强的持续化运营能力,已经形成了完整的产业链闭环。(3)介入地缘冲突从病毒发展历史来看,恶意软件总会借用热点事件来扩大自己的传播范围和影响力。自Covid-19开始流行以来,到俄乌冲突至今一直未变。其总是通过热点事件中的某一个点,来进行钓鱼,达到传播自身的目的。但是俄乌冲突热点中,出现了不同的现象,勒索团伙会利用自己的攻击载荷,或者勒索文档实现或者表达自己的政治立场。除了勒索软件外,还出现了针对俄罗斯和乌克兰国家的数据擦除软件。本质上讲,勒索团队,尤其是具备高度组织化的勒索团伙表现出自己的政治诉求时,其攻击目标的选择就会出现倾向性,并且会让整个勒索事件的链条引入其他因素,变得复杂化,对于政企是值得关注的变化。(五)流行核心逻辑分析安全本质就是攻击成本和防御成本之间的成本博弈。在恶意软件的发展历史中,前期的恶意软件很少注重成本回收,只是开发成本和目标的损失之间的博弈。随后随着信息泄露等各种恶意软件的出现,开始出现了提高成本回收的手段。现今,勒索软件成为了恶意软件当下费效比最高的恶意软件类别之一。由于其完整的生态闭环尚未被有效打破,且参与的团伙还在不断挖掘成本回收的手段,在可见的未来,勒索软件还会继续发展迭代下去。从ATT&CK的角度来看勒索软件。我们隐去无法探明和没有使用的手段,常见的手段如下表所示。常见的手段如上图所示。除此之外,勒索目标的发现,合法的攻击凭证,横向移动资源发现等内容,就不在此详细罗列。勒索软件的攻击方式和攻击手段正在逐步走向多元化,这种快速的发展形势也是近年发展出来的恶意软件中所拥有的共性特点。勒索团伙也出现了让人惊讶的变化。LockBit在今年6月完成了其3.0版本的迭代和发布。为病毒运营,病毒投放者提供技术支持,建立了其自身的ASRC系统,发出了1000美金到100万美金的悬赏。除此之外,还为其服务器增加了抗D能力(应对Entrust的DDoS攻击)。很难想象这是一个非法团伙做的事情。从另外一个角度来说,也可以体现该团伙的高度组织化,产业链条的完整性。结合前文对Conti团伙的分析,我们不难发现,勒索团伙已经开始主动的完善自己的组织架构,出现了非常专业而且自洽的产业链。如果没有一个良好的费效比,显然是无法支撑这种发展趋势的。2022年度,仅公开资料统计,2861次勒索,平均每次勒索既可以有490美金入账。在如此有效的费效比支撑下,勒索团伙依然在寻找更多的盈利空间和盈利模式。LockBit3.0已经开始提供“阶梯赎回”方案。本次俄乌冲突勒索团伙对自己政治立场的表达也体现了这种趋势。其攻击面从普通用户,普通企业,开始向政企蔓延,在局部冲突的大背景下,政企面临勒索团伙的攻击,其回旋空间被压缩,面临的社会舆论风险激增,极大的提高了政企的对抗成本,在攻防成本博弈之中天然处于劣势。成为这些有技术实力,高组织度团伙的攻击目标。勒索团伙也有机会引入外部政治势力的投资。综上所述,勒索病毒能长期流行的核心逻辑是:勒索病毒具有很高的费效比,在安全攻防成本博弈中处于优势地位,且勒索团伙还在不断寻求新的盈利空间,属于上升发展的总体趋势。对于我们防守方来讲,我们将面临更加严峻的挑战,而且在地区热点阶段,政企和机关将面临更加频繁和更加具有针对性的勒索攻击。0x02 勒索病毒防护方案通过图表 12 勒索软件的ATT&CK杀伤链统计 的展示和分析,我们可以将勒索防护分成下面4块内容,分别对应不同的攻击阶段:事前阶段:安全意识教育/培训边界防护事中阶段:主机查杀事后阶段:勒索止损(一)防护方案概要(二)安全意识教育/培训无论任何安全平台,安全软件,使用者都是人。人们常说科技以人为本。安全也是如此,安全以人为本。再好的安全防护体系,不提高使用者的素质,依然会成为一个千疮百孔的体系。所以安全意识教育和安全培训需要放在首位。需要制定《软件使用规范》禁止使用盗版软件,规范正版软件的下载路径和下载方式,杜绝从三方平台下载软件的行为。提高员工邮件安全意识,做到非加密邮件和陌生邮件的附件,链接,二维码绝不下载,不点击,不扫描。由于二维码可以隐藏链接,需要尽量杜绝在邮件中使用二维码。对于陌生的外接设备要加强管理,强化陌生USB设备的管理。由此做到ATT&CK杀伤链中钓鱼环节的入侵防护。(三)边界防护边界防护的目标是针对 图表 12 勒索软件的ATT&CK杀伤链统计 中的部署、入侵、横向移动和窃取阶段构建的检测和防护手段。其包含整体网络边界的WAF,子网内的态势感知系统,主机边界的防火墙,HIPS,以及对横向移动行为进行检测和处置的EDR等多款安全产品。以WAF和态势感知来应对部署和入侵阶段的钓鱼邮件,钓鱼网站访问,RDP口令爆破,服务器层面的漏洞利用。主机边界的防火墙,HIPS,EDR等多款产品用来应对在主机测的入侵、横向移动、窃取阶段的RDP口令爆破,主机漏洞利用,聊天工具横向移动和窃取阶段的数据上传防护。(四)主机查杀主机查杀阶段是针对 图表 12 勒索软件的ATT&CK杀伤链统计 中的执行、维持、规避和影响阶段。其包含主机终端的攻击载荷落盘查杀,执行查杀。查杀引擎会持续和勒索病毒进行对抗,应对勒索病毒的规避手段,同时更新病毒库引擎,针对勒索软件进行持续化清理。其核心能力指标是针对勒索病毒的覆盖率和阻断能力。(五)勒索止损当所有防线都被突破之后,我们需要进行止损,防止损失扩大。主要为两个方面:使用定期的数据备份恢复被勒索的数据。对于无法恢复的数据部分,以及在恢复期间产生的经济损失,可以引入勒索保险,来实现一定的经济损失补偿。根据sophos的勒索白皮书中对5400家外国企业的调研,在勒索场景下,只有46%的厂家会支付勒索金,在这些支付勒索金到厂家中,只有61%的厂家的数据能找回。而只有4%的厂商能找回完整的数据。如此低下的数据恢复率,充分证明数据找回是不能指望勒索恢复。2022年度勒索保险的赔付率已经从2021年的77%,上升到了98%。可以成为对勒索损失的一种补偿。勒索止损主要分成两个方案:经济补偿和数据恢复。经济补偿主要依靠商业保险。当前国际上勒索保险也是处在刚刚起步的发展阶段,国内勒索保险领域也处在摸索阶段,尚不成熟。数据恢复部分主要依赖数据备份产品。浪潮云拥有国内领先的数据备份产品。在勒索场景下,面对不同的客户需求可以分别采用优备或者CDP来进行数据备份。优备具备成本较低,备份策略灵活的特点。当采用异地备份方案的时候可以防止勒索病毒造成的用户数据永久损失。而CDP的备份周期短,但是相对的存储成本较高,可以用来保护实时性较高的高价值数据。0x03 结论勒索病毒开始出现本土化,攻击手段复杂化,加密手段复杂化的趋势。让防御成本逐渐上升。同时,勒索病毒开始把攻击目标从普通企业和普通个人,逐渐转向了政企和国家机关,以此谋求更大的利益。我们结合浪潮云的基建,按照主机安全厂商测试结果和勒索防护方案的设计,给出如下的勒索防护解决方案。加强安全意识教育和培训。防止不当操作导致的安全事故。在边界防护和主机防护方面,需要搭建WAF、HIPS和EDR系统,覆盖不同的边界防护阶段需求。在勒索止损方面,根据用户自身数据的价值,可以使用浪潮云的优备或者CDP来实现数据异地备份和数据的快速恢复,最大化降低勒索带来的数据损失。 本文作者:,
转载请注明来自FreeBuf.COM # 资讯 # web安全 # 数据安全 # 企业安全 # 网络安全技术
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
展开更多
相关推荐
关 注 0 文章数 0 关注者
文章目录
0x00 前言 0x01 勒索病毒现状 (一)现状(二)勒索病毒攻击简介(三)勒索病毒攻击趋势(四)重点勒索病毒家族分析0x02 勒索病毒防护方案(一)防护方案概要(二)安全意识教育/培训(三)边界防护0x03 结论 本站由阿里云 提供计算与安全服务 用户服务 有奖投稿 提交漏洞 参与众测 商城 企业服务 安全咨询 产业全景图 企业SRC 安全众测 合作信息 斗象官网 广告投放 联系我们 友情链接 关于我们 关于我们 加入我们 微信公众号 新浪微博 战略伙伴 FreeBuf+小程序 扫码把安全装进口袋 斗象科技 FreeBuf 漏洞盒子 斗象智能安全平台 免责条款 协议条款
Copyright © 2020 WWW.FREEBUF.COM All Rights Reserved
沪ICP备13033796号
|
沪公安网备
国家互联网应急中心
国家互联网应急中心
网站地图
RSS订阅
English
邮件订阅
首 页
威胁预警
态势报告
新闻资讯
CERT在线
CERT讲堂
应急体系
关于我们
漏洞公告
恶意代码
其他威胁
安全指数
安全状况图表
安全报告
数据分析报告
CNCERT动态
国内要闻
国际新闻
有害IP/URL查询
安全工具下载
安全科普
技术专题
培训研讨
政策法规
互联网运营单位
国际合作伙伴
国内合作伙伴
应急服务支撑单位
网络安全工作委员会
中国应急组织社区
CNCERT分中心
CNCERT简介
联系我们
重点关注
2020年中国互联网网络安全报告
2021年中国网络安全年会在北京...
“2021年中国网络安全年会”正...
“2021年中国网络安全年会”即...
关于遴选第九届CNCERT网络安...
更多>>
漏洞公告
关于Microsoft Exch...
关于VMware多款产品存在远程...
关于Microsoft远程桌面服...
国家互联网应急中心开通Wanna...
关于MongoDB数据库不当配置...
关于境内大量家用路由器DNS服务...
更多>>
恶意代码
关于Moobot僵尸网络利用UN...
国家互联网应急中心开通Wanna...
关于一种新型勒索病毒有关情况的通报
一例境外滥用我国境内网络资源发起...
关于软件下载站传播计算机恶意程序...
更多>>
其他威胁
关于新型P2P僵尸网络PBot的...
关于通过一类APP实施刷单诈骗的...
关于近期境外黑客组织拟对我国视频...
关于防范网络不法分子利用新型肺炎...
关于通过一类仿冒网站实施网络诈骗...
更多>>
勒索软件防范指南
时间:2021-07-23
勒索软件是黑客用来劫持用户资产或资源实施勒索的一种恶意程序。黑客利用勒索软件,通过加密用户数据、更改配置等方式,使用户资产或资源无法正常使用,并以此为条件要求用户支付费用以获得解密密码或者恢复系统正常运行。主要的勒索形式包括文件加密勒索、锁屏勒索、系统锁定勒索和数据泄漏勒索等。主要的传播方式包括钓鱼邮件传播、网页挂马传播、漏洞传播、远程登录入侵传播、供应链传播和移动介质传播等。
国家互联网应急中心(CNCERT)近期发布的《2020年我国互联网网络安全态势综述》显示,2020年勒索软件持续活跃,全年捕获勒索软件78.1万余个,较2019年同比增长6.8%。2021年上半年,勒索软件攻击愈发频繁,发生多起重大事件,例如3月20日,台湾计算机制造商宏碁(Acer)遭REvil勒索软件攻击,被要求支付5000万美元赎金;5月7日,美国输油管道公司Colonial Pipeline遭Darkside勒索软件攻击,导致东海岸液体燃料停止运营;5月26日,国内某大型地产公司遭REvil勒索软件攻击,窃取并加密了约3TB的数据;5月31日,全球最大的肉类供应商JBS遭REvil勒索软件攻击,导致澳大利亚所有JBS肉类工厂停产。
一、勒索软件防范九要、四不要
防范勒索软件要做到以下“九要”:
1、要做好资产梳理与分级分类管理。清点和梳理组织内的信息系统和应用程序,建立完整的资产清单;梳理通信数据在不同信息系统或设备间的流动方向,摸清攻击者横向移动可能路径;识别内部系统与外部第三方系统间的连接关系,尤其是与合作伙伴共享控制的区域,降低勒索软件从第三方系统进入的风险;对信息系统、数据进行分级分类,识别关键业务和关键系统,识别关键业务和关键系统间的依赖关系,确定应急响应的优先级。
2、要备份重要数据和系统。重要的文件、数据和业务系统要定期进行备份,并采取隔离措施,严格限制对备份设备和备份数据的访问权限,防止勒索软件横移对备份数据进行加密。
3、要设置复杂密码并保密。使用高强度且无规律的登录密码,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并经常更换密码;对于同一局域网内的设备杜绝使用同一密码,杜绝密码与设备信息(例如IP、设备名)具有强关联性。
4、要定期安全风险评估。定期开展风险评估与渗透测试,识别并记录资产脆弱性,确定信息系统攻击面,及时修复系统存在的安全漏洞。
5、要常杀毒、关端口。安装杀毒软件并定期更新病毒库,定期全盘杀毒;关闭不必要的服务和端口,包括不必要的远程访问服务(3389端口、22端口),以及不必要的135、139、445等局域网共享端口等。
6、要做好身份验证和权限管理。加强访问凭证颁发、管理、验证、撤销和审计,防止勒索软件非法获取和使用访问凭证,建议使用双因子身份认证;细化权限管理,遵守最小特权原则和职责分离原则,合理配置访问权限和授权,尽量使用标准用户而非管理员权限用户。
7、要严格访问控制策略。加强网络隔离,使用网络分段、网络划分等技术实现不同信息设备间的网络隔离,禁止或限制网络内机器之间不必要的访问通道;严格远程访问管理,限制对重要数据或系统的访问,如无必要关闭所有远程管理端口,若必须开放远程管理端口,使用白名单策略结合防火墙、身份验证、行为审计等访问控制技术细化访问授权范围,定期梳理访问控制策略。
8、要提高人员安全意识。为组织内人员和合作伙伴提供网络安全意识教育;教育开发人员开发和测试环境要与生产环境分开,防止勒索软件从开发和测试系统传播到生产系统。
9、要制定应急响应预案。针对重要信息系统,制定勒索软件应急响应预案,明确应急人员与职责,制定信息系统应急和恢复方案,并定期开展演练;制定事件响应流程,必要时请专业安全公司协助,分析清楚攻击入侵途径,并及时加固堵塞漏洞。
防范勒索软件要做到以下“四不要”:
1、不要点击来源不明邮件。勒索软件攻击者常常利用受害者关注的热点问题发送钓鱼邮件,甚至还会利用攻陷的受害者单位组织或熟人邮箱发送钓鱼邮件,不要点击此类邮件正文中的链接或附件内容。如果收到了单位组织内或熟人的可疑邮件,可直接拨打电话向其核实。
2、不要打开来源不可靠网站。不浏览色情、赌博等不良信息网站,此类网站经常被勒索软件攻击者发起挂马、钓鱼等攻击。
3、不要安装来源不明软件。不要从不明网站下载安装软件,不要安装陌生人发送的软件,警惕勒索软件伪装为正常软件的更新升级。
4、不要插拔来历不明的存储介质。不要随意将来历不明的U盘、移动硬盘、闪存卡等移动存储设备插入机器。
二、勒索软件应急处置方法
当机器感染勒索软件后,不要惊慌,可立即开展以下应急工作,降低勒索软件产生的危害。
1、隔离网络。采用拔掉网线或者禁用网络等方式切断受感染机器的网络连接,避免网络内其他机器被进一步感染渗透。
2、分类处置。当发现机器上重要文件尚未被加密时,应立即终止勒索软件进程或者关闭机器,及时止损;当发现机器上重要文件已被全部加密时,可保持机器开机原状态,等待专业处置。
3、及时报告。及时报告网络管理员,通知其他可能会受到勒索软件影响的人员。造成重大影响时,及时向网络安全主管部门报告。
4、排查加固。立即视情况切断网络内机器间不必要的网络连接,修改网络内机器的弱口令密码。全面排查勒索软件植入途径,并及时堵塞漏洞。尽快对网络内机器进行全面漏洞扫描与安全加固。
5、专业恢复。请专业公司和人员进行数据和系统恢复工作。
CNCERT联系方式:010-82990999,cncert@cert.org.cn
《勒索软件防范指南》 (点击下载)
关于我们|
网站声明|
网站地图|
联系我们|
版权声明
国家计算机网络应急技术处理协调中心版权所有Email:cncert@cert.org.cn 京ICP备10012421号-2网站由知道创宇公司加速乐产品提供访问优化服务
信通院发布《勒索病毒安全防护手册》(附下载) - 安全内参 | 决策者的网络安全知识库
信通院发布《勒索病毒安全防护手册》(附下载) - 安全内参 | 决策者的网络安全知识库
Toggle navigation
首页
产业趋势
专家观察
CISO洞察
决策研究
登录
APP下载
信通院发布《勒索病毒安全防护手册》(附下载)
安全运营
中国信通院CAICT
2021-09-08
手册梳理了勒索病毒主要类型、传播方式,分析勒索病毒攻击特点和典型勒索病毒攻击阶段,聚焦事前预防,事中应急、事后加固三个环节,研提勒索病毒攻击防范应对框架和实操参考。
勒索病毒是一种极具传播性、破坏性的恶意软件,主要利用多种密码算法加密用户数据,恐吓、胁迫、勒索用户高额赎金。近期,勒索病毒攻击形势更加严峻,已经对全球能源、金融等领域重要企业造成严重影响。由于勒索病毒加密信息难以恢复、攻击来源难以溯源,勒索病毒对现实世界威胁加剧,已成为全球广泛关注的网络安全难题。为加强勒索病毒攻击防范应对,在工业和信息化部网络安全管理局指导下,中国信息通信研究院(以下简称“中国信通院”)联合行业七家单位共同编制《勒索病毒安全防护手册》(以下简称“《手册》”),梳理勒索病毒主要类型、传播方式,分析勒索病毒攻击特点和典型勒索病毒攻击阶段,聚焦事前预防,事中应急、事后加固三个环节,研提勒索病毒攻击防范应对框架和实操参考,以期与公众分享,共同防范化解攻击风险。下一步,中国信通院将深刻落实总体国家安全观,立足底线思维,聚焦勒索病毒等重大网络攻击风险防范应对,加强风险研究前瞻布局和应对指导,增强国家网络安全综合实力,筑牢适应新时代的网络安全防线,为数字经济健康、有序、安全发展保驾护航。手册目录一、相关背景(一)勒索病毒攻击事件数量保持高位(二)勒索病毒攻击风险传导趋势明显二、勒索病毒概述(一)勒索病毒主要类型(二)勒索病毒典型传播方式三、勒索病毒攻击现状(一)近期勒索病毒攻击特点(二)典型勒索病毒攻击流程四、勒索病毒攻击安全防护举措(一)勒索病毒攻击安全防护框架(二)勒索病毒攻击安全防护实操参考更多精彩,敬请阅读解读PPT。123456789101112下载手册:http://www.caict.ac.cn/kxyj/qwfb/ztbg/202109/P020210908503958931090.pdf
声明:本文来自中国信通院CAICT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
安全运营
勒索软件
相关资讯
安全团队需要重点演练的四大威胁
安全运营
GoUpSec
2024-03-11
面对日益增长的漏洞和威胁,企业安全团队应该优先选择哪些威胁进行测试?
零信任:不断演进中创新
安全运营
ZenMind
2024-03-10
零信任的思想内涵在不断演进,在数字化进程中越发重要,但零信任的成果难以依赖理念的先进,更需要技术创新来弥合安全和业务之间的冲突。
生成式人工智能服务安全基本要求实务解析
安全运营
金杜研究院
2024-03-09
本文尝试明晰《基本要求》的出台背景与实践定位,梳理《基本要求》所涉的各类安全要求,以便为相关企业遵循执行《基本要求》提供抓手。
关于我们
联系我们
用户协议
隐私政策
移动客户端
安全内参 © 2024 沪ICP备19008222号-1
微信公众号
回到顶部
探索勒索病毒的本质与应对策略:保护数字世界的安全 - 知乎
探索勒索病毒的本质与应对策略:保护数字世界的安全 - 知乎切换模式写文章登录/注册探索勒索病毒的本质与应对策略:保护数字世界的安全智识神工已认证账号威胁日益增长:勒索病毒的蔓延现象随着数字世界变得愈发便利,威胁与风险也在悄然增加。2017年,一场名为"WannaCry"的勒索病毒攻击震惊了整个网络安全领域,数十万台计算机受到感染,个人用户、医疗机构、企业公司,无一幸免。受害者的数据不仅被加密导致无法访问,还被要求支付高额比特币赎金。这一事件不仅导致了数亿美元的经济损失,更揭示了勒索病毒的狡猾与危险。可怕的是,这并非孤例。以下表格列举了自2017年以来的部分勒索病毒实例。名称出现时间传播方式造成的损失WannaCry2017.5利用“永恒之蓝”漏洞感染网内计算机,链条式传播扩散,广泛传播达到数亿到数十亿美元NotPeytya2017.6感染计算机的Master Boot Record(MBR),阻止Windows启动100亿美元左右Phobos2018.12RDP暴力破解+人工投放双重方式传播主要针对中小型企业的服务器doppelpayer2019.4勒索文件加密与数据窃取,主要瞄准学校、医疗等机构学校,医疗等机构,解密赎金约为1700万美元Magniber2021.11利用PrintNightmare漏洞、网页挂马、Windows远程桌面爆破针对韩国以及亚太地区用户TellYouThePass2021.11,2022.5网页挂马,Log4j2漏洞针对中小微企业,造成短时间内大量传播Rook2021.11属于Babuk勒索病毒家族,利用漏洞和钓鱼邮件传播,加密并删除卷影副本数据可能公开于暗网,超过15天数据无法解密根据IBM的数据,2022年的平均勒索赎金金额达到812,360美元。高额的经济损失凸显了一个现实:数据已成为社会的核心。失去数据不仅带来经济损失,还影响个人隐私、企业声誉,甚至国家安全。为有效抵御病毒,我们必须深入了解威胁。解析威胁:勒索病毒的本质与进化之路病毒本质揭秘勒索病毒通常采用巧妙的方式传播,比如伪装成看似无害的电子邮件附件或诱人点击的网页链接。它们也可能利用系统或程序中的漏洞,找到进入设备的突破口。一旦感染了用户的设备,勒索病毒会展现其狡猾之处,它们会运用先进算法加密数据。而数据一旦被加密,在没有密钥的情况下,以现在的技术水平几乎不可能被破解。此时,受害者唯有支付赎金,以换取解密密钥。为了增加支付赎金的可能性,这些黑客通常要求使用虚拟货币,例如比特币等。虚拟货币能够使黑客在交易中保持匿名,为其隐藏身份,免受追捕与惩罚。进化探索:由远至近攻击背后的动机如今,勒索病毒的性质已经从单纯的破坏性攻击转变为了一个经过精心策划的商业模式。黑客们的动机也不再仅仅是为了攻击的刺激感,而是追求利益,有计划地瞄准了那些缺乏充分数据备份和强化防护措施的目标。他们利用网络漏洞、社会工程等手段制作勒索病毒,窃取机密数据,并在暗网上出售;或是将加密算法嵌入受害者的计算机,从而索取巨额赎金。此外,攻击者为非专业人士提供定制解决方案,例如“一键购买”服务或自己动手的工具包。这些方案不需要太多技术就能使用,极大地促进了勒索病毒的传播。不断转移的目标:攻击对象的变化近年来,勒索病毒攻击的目标正在不断演变。据Sophos研究报道,2020年有35%的组织因遭受勒索病毒攻击而遭受了100万至500万美元的损失,而在2021年,受影响组织比例飙升至66%。与此同时,选择支付赎金的受害者数量也在逐渐上升。不仅如此,如今的勒索病毒攻击更加复杂多样,攻击者已经采用了更为精细的策略,针对性的瞄准多个行业。根据 Digital Shadows 对2022 年第三季度报道,工业、科技、医疗、教育等行业正成为勒索病毒的主要攻击目标。医疗行业不仅包含大量敏感数据,导致的业务停摆甚至威胁生命信息和医疗服务的连续性。物联网和能源等工业领域的攻击不仅可能导致生产中断,还可能引发环境和公共安全问题,威胁到每个人的隐私和安全。新招数频现:攻击方式的进化勒索病毒攻击日益多样化,从常见的文件加密,延伸至涵盖数据库等广泛领域,并且其攻击方式更具破坏性,例如“双重勒索”和“多重勒索”等策略。在“双重勒索”中,攻击者加密数据之后,不仅要求受害者支付赎金以解密文件,还威胁要在未支付赎金的情况下公开窃取的敏感数据。“多重勒索”则更进一步,攻击者不仅威胁要公开敏感信息,还可能采取其他破坏性行动,如发动DDoS攻击。这样的攻击方式将受害者置于更加严重的困境中,使受害者在面对勒索时陷入更加复杂的抉择。守护安全的利器:防范勒索病毒的关键技术在面对日益复杂多变的勒索病毒威胁时,有效的防范技术显得尤为关键。目前主流的防范技术主要是基于三个方面:对勒索病毒的预防,持续的安全监测,以及高效的数据恢复。首要之处在于通过网络防火墙和入侵检测系统对网络流量进行实时监控,从而试图阻止恶意活动,侦测潜在的入侵行为,并立即采取应对措施,以确保网络免受攻击的危害。而连续不断的数据安全检测包括行为分析和启发式分析。前者有能力检测出系统中异常的行为模式,捕捉那些尚未被发现的勒索病毒活动;而后者则能够在不依赖已知病毒特征签名的基础上,精准辨识出新兴恶意代码。此外,作为基础安全工具,杀毒软件能够检测和删除恶意软件,实时保护功能可拦截可疑文件。高效的数据恢复策略包括定期备份数据,确保用户能够在遭受攻击后恢复受损或加密的文件。面临挑战:防范技术的现实局限尽管这些技术提供了有力的安全保护,但也存在缺陷。传统的隔离手段,如“网络边界隔离+访问控制策略”,已不再能够全面保护数字资产。例如,传统网络防火墙基于固定规则和特征库,难以防御勒索病毒不断变形的恶意攻击特征,也无法应对利用0day漏洞的勒索攻击。行为分析技术的引入也伴随着潜在的风险,如漏报和误报,可能对系统的稳定性和效率造成影响。此外,传统的定期备份机制虽然可以一定程度上保障数据的可恢复性,但无法确保备份数据的健康完整性。一旦原始数据受到感染,备份数据同样可能受到影响,从而导致数据不可用。而在数据恢复后,如若缺乏对数据完整性的有效验证,可能导致被勒索病毒加密的数据在系统恢复运行时引发问题,对企业的声誉和运营造成二次伤害。创新对策面对新兴的勒索攻击,现有的反勒索安全技术存在两大薄弱环节:应用漏洞的检测和响应速度。应用安全和数据恢复角度而言,前者关注应用攻击检测与响应,后者则涉及数据备份与业务恢复。然而,这两者的解决方案不宜沿用传统模式,而应采取创新的防御策略。智识神工提出了综合性的信息安全方案,融合“数据+通信+网络”三位一体的要素。该方案构建了创新的纵深防御安全策略和统一的系统架构,将防护措施融入应用程序生命周期,限制数据访问权限,迅速识别恶意网络节点,并实时阻截勒索病毒的传播。随着勒索病毒攻击日益频发,防御之路充满挑战。企业必须全面加强防御系统的完善,以更好地应对不断升级的威胁。在压力下,我们需要持续创新,以确保网络安全护航企业的持续发展。发布于 2023-08-18 15:28・IP 属地中国香港信息安全勒索病毒赞同 4添加评论分享喜欢收藏申请