第一步:攻擊
攻擊的手法五花八門���,系統(tǒng)漏洞、惡意郵件��、U盤���、共享文件����、釣魚網(wǎng)站、廣告彈窗���、僵尸網(wǎng)絡(luò)等都可能成為病毒傳播的載體����。目前�����,勒索病毒的主要入侵方式是遠程桌面入侵�,其次是共享文件夾被加密。主要攻擊手段有弱口令攻擊�����、橫向滲透�、釣魚郵件�����、利用系統(tǒng)漏洞或應(yīng)用軟件漏洞攻擊�����、網(wǎng)站掛馬攻擊�、破解軟件與激活工具��、僵尸網(wǎng)絡(luò)和供應(yīng)鏈攻擊等���。
在這些攻擊手段中,利用系統(tǒng)漏洞是最為常見的�����,它的最大特點是被動性�。病毒會自動掃描網(wǎng)絡(luò)中存在系統(tǒng)漏洞的主機,只要沒有安裝補丁����,即使沒有點開郵件、沒有訪問惡意網(wǎng)站�����,也可能被攻擊�。
第二步:擴散
在感染某一臺主機后,病毒往往不急著開始“工作”����,而是盡可能利用各種手法來自我復(fù)制,進行不同文件、不同主機間的相互感染����,最終將病毒擴散到整個局域網(wǎng)。等病毒爆發(fā)時����,往往就是整個單位、整個企業(yè)的電腦全部被鎖��。
第三步:竊取
完成了“熱身”�,病毒開始“大顯身手”。一方面���,它會通過格式篡改的方式�����,加密電腦中的文檔、圖片等文件��;另一方面���,它會將感染電腦上的機密文件上傳到黑客服務(wù)器上�����。
第四步:勒索
在成功加密�����、竊取文件之后����,病毒會在桌面或醒目位置生成一個提醒用戶文件已被鎖定/竊取,指引其交贖金的文件�����。
對于一些知名企業(yè)���,如果不及時交贖金���,黑客會在暗網(wǎng)陸續(xù)公開竊得的機密文件,以實現(xiàn)施壓的目的���。
勒索產(chǎn)業(yè)鏈Raas
勒索軟件即服務(wù)(RaaS)借鑒了軟件即服務(wù)(SaaS)模型�����,黑客為網(wǎng)絡(luò)攻擊者提供工具和基礎(chǔ)設(shè)施���,從他們以盜取的文件為質(zhì)押所獲取的利益中分成����。
這種基于訂閱的惡意模型使新手網(wǎng)絡(luò)犯罪分子也能夠毫不費力地發(fā)起勒索軟件攻擊���。您可以在市場上找到各種RaaS軟件包�����,這些軟件包可減少對惡意軟件進行編碼的需求����。
勒索病毒防范16個小技巧
增強安全意識
1.不訪問色情���、博彩等不良信息網(wǎng)站�,這些網(wǎng)站通常會引導(dǎo)訪客下載病毒文件或發(fā)動釣魚��、掛馬攻擊����。
2.不輕易下載陌生人發(fā)來的郵件附件,不點擊陌生郵件中的鏈接��。
3.不隨意使用陌生U盤���、移動硬盤等外設(shè)�,使用時切勿關(guān)閉防護軟件比如Windows自帶的Windows defender�����,避免拷入惡意文件����。
4.不輕易運行bat、vbs�����、vbe�����、js��、jse��、wsh、wsf等后綴的腳本文件和exe可執(zhí)行程序�,不輕易解壓不明壓縮文件。陌生文件下載運行前可使用文件威脅分析平臺進行檢測(http://ti.dbappsecurity.com.cn:8080/)�����,避免感染病毒��。
5.定期查殺病毒��,清理可疑文件�����,備份數(shù)據(jù)�。
增加口令強度
6.修改系統(tǒng)和各應(yīng)用(MySQL、SQLServer等)的弱口令��、空口令����、多臺服務(wù)器共用的重復(fù)口令。
7.設(shè)置強密碼���,長度不少于8個字符��,至少包含以下四類字符中的三類:大小寫字母���、數(shù)字、特殊符號����,不能是人名、計算機名����、用戶名、郵箱名等��。
8.Windows操作系統(tǒng)可以通過配置密碼策略來實現(xiàn)����。
修復(fù)漏洞
9.及時修復(fù)系統(tǒng)漏洞或借助EDR等安全軟件完成漏洞修復(fù),避免被惡意利用��。
10.當需要管理龐大數(shù)量的主機時���,應(yīng)選擇合適的安全管理系統(tǒng)完成漏洞修復(fù)工作�����。
11.應(yīng)定期檢測并修復(fù)應(yīng)用漏洞���,最好是能夠及時更新版本����。
端口管理
12.除了必要的業(yè)務(wù)需求��,應(yīng)關(guān)閉135�、139、445��、3389等端口�����,即使需要對部分機器開放�,也應(yīng)做出配置僅限部分機器可訪問。
13.通過防火墻配置���、安全軟件隔離或準入管理�。
應(yīng)急方法
14.物理隔離:斷網(wǎng)���,拔掉網(wǎng)線或禁用網(wǎng)卡����,筆記本也要禁用無線網(wǎng)絡(luò)。
15.邏輯隔離:訪問控制����、關(guān)閉端口��、修改密碼�����。
16.排查其他主機:盡快排查業(yè)務(wù)系統(tǒng)與備份系統(tǒng)是否受到影響�����,確定病毒影響范圍����,準備事后恢復(fù)。
提示:無論是個人還是企業(yè)�����,一旦被勒索軟件敲詐,都不建議支付贖金�����!首先�,支付贖金變相鼓勵了勒索攻擊行為,其次���,支付贖金也可能會留下后遺癥��,甚至根本解決不了問題���。建議優(yōu)先嘗試通過備份、數(shù)據(jù)恢復(fù)�����、數(shù)據(jù)修復(fù)等手段挽回部分損失��,比如部分勒索病毒只加密文件頭部數(shù)據(jù)����,對于某些類型的文件(如數(shù)據(jù)庫文件),就可以嘗試通過數(shù)據(jù)修復(fù)手段來修復(fù)被加密文件����?���?偟膩碚f�,勒索病毒重在防范,建議部署安恒edr等相關(guān)安全防護產(chǎn)品��。
事后恢復(fù)
備份還原
通常來說����,與感染病毒的主機不在同一局域網(wǎng)內(nèi)的異地備份系統(tǒng)最能在此時發(fā)揮作用�。進行備份還原前,要確保原主機上病毒已徹底清除�����,應(yīng)進行磁盤格式化并重裝系統(tǒng)���。日常進行合理的數(shù)據(jù)備份�,是最有效的災(zāi)難恢復(fù)方法����。
解密工具恢復(fù)
通常的解密工具是通過已公開的密鑰來解密,來源途徑包括破解勒索程序得到,勒索者對受害人感到愧疚���、同情等極端情況而公開密鑰���,執(zhí)法機構(gòu)獲得勒索者的服務(wù)器上存儲著密鑰且執(zhí)法機構(gòu)選擇公開。此外�����,除了付費解密的工具����,還可嘗試國際刑警組織反勒索病毒網(wǎng)站(https://www.nomoreransom.org/zh/index.html)提供的解密工具。
需要注意的是:使用解密工具之前�,務(wù)必要備份加密的文件,防止解密不成功導(dǎo)致無法恢復(fù)數(shù)據(jù)��。
皖公網(wǎng)安備 34081102000113號