第一步:攻擊
攻擊的手法五花八門,系統(tǒng)漏洞、惡意郵件���、U盤��、共享文件���、釣魚(yú)網(wǎng)站��、廣告彈窗����、僵尸網(wǎng)絡(luò)等都可能成為病毒傳播的載體��。目前����,勒索病毒的主要入侵方式是遠(yuǎn)程桌面入侵����,其次是共享文件夾被加密����。主要攻擊手段有弱口令攻擊����、橫向滲透、釣魚(yú)郵件�、利用系統(tǒng)漏洞或應(yīng)用軟件漏洞攻擊、網(wǎng)站掛馬攻擊���、破解軟件與激活工具����、僵尸網(wǎng)絡(luò)和供應(yīng)鏈攻擊等��。
在這些攻擊手段中��,利用系統(tǒng)漏洞是最為常見(jiàn)的��,它的最大特點(diǎn)是被動(dòng)性。病毒會(huì)自動(dòng)掃描網(wǎng)絡(luò)中存在系統(tǒng)漏洞的主機(jī)�����,只要沒(méi)有安裝補(bǔ)丁����,即使沒(méi)有點(diǎn)開(kāi)郵件、沒(méi)有訪問(wèn)惡意網(wǎng)站�����,也可能被攻擊�。
第二步:擴(kuò)散
在感染某一臺(tái)主機(jī)后,病毒往往不急著開(kāi)始“工作”����,而是盡可能利用各種手法來(lái)自我復(fù)制,進(jìn)行不同文件�、不同主機(jī)間的相互感染,最終將病毒擴(kuò)散到整個(gè)局域網(wǎng)���。等病毒爆發(fā)時(shí)�,往往就是整個(gè)單位��、整個(gè)企業(yè)的電腦全部被鎖。
第三步:竊取
完成了“熱身”�����,病毒開(kāi)始“大顯身手”�。一方面,它會(huì)通過(guò)格式篡改的方式��,加密電腦中的文檔�、圖片等文件����;另一方面,它會(huì)將感染電腦上的機(jī)密文件上傳到黑客服務(wù)器上�����。
第四步:勒索
在成功加密���、竊取文件之后�,病毒會(huì)在桌面或醒目位置生成一個(gè)提醒用戶文件已被鎖定/竊取����,指引其交贖金的文件。
對(duì)于一些知名企業(yè),如果不及時(shí)交贖金����,黑客會(huì)在暗網(wǎng)陸續(xù)公開(kāi)竊得的機(jī)密文件,以實(shí)現(xiàn)施壓的目的�����。
勒索產(chǎn)業(yè)鏈Raas
勒索軟件即服務(wù)(RaaS)借鑒了軟件即服務(wù)(SaaS)模型��,黑客為網(wǎng)絡(luò)攻擊者提供工具和基礎(chǔ)設(shè)施�����,從他們以盜取的文件為質(zhì)押所獲取的利益中分成�。
這種基于訂閱的惡意模型使新手網(wǎng)絡(luò)犯罪分子也能夠毫不費(fèi)力地發(fā)起勒索軟件攻擊。您可以在市場(chǎng)上找到各種RaaS軟件包��,這些軟件包可減少對(duì)惡意軟件進(jìn)行編碼的需求���。
勒索病毒防范16個(gè)小技巧
增強(qiáng)安全意識(shí)
1.不訪問(wèn)色情�����、博彩等不良信息網(wǎng)站�����,這些網(wǎng)站通常會(huì)引導(dǎo)訪客下載病毒文件或發(fā)動(dòng)釣魚(yú)�、掛馬攻擊。
2.不輕易下載陌生人發(fā)來(lái)的郵件附件����,不點(diǎn)擊陌生郵件中的鏈接。
3.不隨意使用陌生U盤��、移動(dòng)硬盤等外設(shè)�����,使用時(shí)切勿關(guān)閉防護(hù)軟件比如Windows自帶的Windows defender��,避免拷入惡意文件��。
4.不輕易運(yùn)行bat����、vbs�、vbe、js�����、jse、wsh�、wsf等后綴的腳本文件和exe可執(zhí)行程序,不輕易解壓不明壓縮文件�����。陌生文件下載運(yùn)行前可使用文件威脅分析平臺(tái)進(jìn)行檢測(cè)(http://ti.dbappsecurity.com.cn:8080/)����,避免感染病毒。
5.定期查殺病毒����,清理可疑文件,備份數(shù)據(jù)����。
增加口令強(qiáng)度
6.修改系統(tǒng)和各應(yīng)用(MySQL、SQLServer等)的弱口令��、空口令����、多臺(tái)服務(wù)器共用的重復(fù)口令�����。
7.設(shè)置強(qiáng)密碼����,長(zhǎng)度不少于8個(gè)字符�����,至少包含以下四類字符中的三類:大小寫(xiě)字母����、數(shù)字、特殊符號(hào)�,不能是人名、計(jì)算機(jī)名�����、用戶名��、郵箱名等�。
8.Windows操作系統(tǒng)可以通過(guò)配置密碼策略來(lái)實(shí)現(xiàn)�����。
修復(fù)漏洞
9.及時(shí)修復(fù)系統(tǒng)漏洞或借助EDR等安全軟件完成漏洞修復(fù),避免被惡意利用�。
10.當(dāng)需要管理龐大數(shù)量的主機(jī)時(shí),應(yīng)選擇合適的安全管理系統(tǒng)完成漏洞修復(fù)工作�����。
11.應(yīng)定期檢測(cè)并修復(fù)應(yīng)用漏洞����,最好是能夠及時(shí)更新版本。
端口管理
12.除了必要的業(yè)務(wù)需求�,應(yīng)關(guān)閉135、139����、445、3389等端口���,即使需要對(duì)部分機(jī)器開(kāi)放���,也應(yīng)做出配置僅限部分機(jī)器可訪問(wèn)。
13.通過(guò)防火墻配置����、安全軟件隔離或準(zhǔn)入管理�。
應(yīng)急方法
14.物理隔離:斷網(wǎng)�����,拔掉網(wǎng)線或禁用網(wǎng)卡�����,筆記本也要禁用無(wú)線網(wǎng)絡(luò)��。
15.邏輯隔離:訪問(wèn)控制�、關(guān)閉端口、修改密碼����。
16.排查其他主機(jī):盡快排查業(yè)務(wù)系統(tǒng)與備份系統(tǒng)是否受到影響,確定病毒影響范圍���,準(zhǔn)備事后恢復(fù)�。
提示:無(wú)論是個(gè)人還是企業(yè)����,一旦被勒索軟件敲詐,都不建議支付贖金��!首先�����,支付贖金變相鼓勵(lì)了勒索攻擊行為���,其次�����,支付贖金也可能會(huì)留下后遺癥����,甚至根本解決不了問(wèn)題��。建議優(yōu)先嘗試通過(guò)備份����、數(shù)據(jù)恢復(fù)、數(shù)據(jù)修復(fù)等手段挽回部分損失�����,比如部分勒索病毒只加密文件頭部數(shù)據(jù),對(duì)于某些類型的文件(如數(shù)據(jù)庫(kù)文件)�����,就可以嘗試通過(guò)數(shù)據(jù)修復(fù)手段來(lái)修復(fù)被加密文件��??偟膩?lái)說(shuō),勒索病毒重在防范���,建議部署安恒edr等相關(guān)安全防護(hù)產(chǎn)品����。
事后恢復(fù)
備份還原
通常來(lái)說(shuō)����,與感染病毒的主機(jī)不在同一局域網(wǎng)內(nèi)的異地備份系統(tǒng)最能在此時(shí)發(fā)揮作用。進(jìn)行備份還原前��,要確保原主機(jī)上病毒已徹底清除��,應(yīng)進(jìn)行磁盤格式化并重裝系統(tǒng)�。日常進(jìn)行合理的數(shù)據(jù)備份����,是最有效的災(zāi)難恢復(fù)方法����。
解密工具恢復(fù)
通常的解密工具是通過(guò)已公開(kāi)的密鑰來(lái)解密��,來(lái)源途徑包括破解勒索程序得到��,勒索者對(duì)受害人感到愧疚����、同情等極端情況而公開(kāi)密鑰,執(zhí)法機(jī)構(gòu)獲得勒索者的服務(wù)器上存儲(chǔ)著密鑰且執(zhí)法機(jī)構(gòu)選擇公開(kāi)����。此外,除了付費(fèi)解密的工具�����,還可嘗試國(guó)際刑警組織反勒索病毒網(wǎng)站(https://www.nomoreransom.org/zh/index.html)提供的解密工具�����。
需要注意的是:使用解密工具之前,務(wù)必要備份加密的文件��,防止解密不成功導(dǎo)致無(wú)法恢復(fù)數(shù)據(jù)�。
皖公網(wǎng)安備 34081102000113號(hào)