一. 什么是勒索病毒?
勒索病毒是伴随数字货币兴起的一种新型病毒木马,如果遭遇了勒索病毒攻击,受害目标的绝大多数文件将被加密,并且文件名会添加一个特殊的后缀。绝大多数勒索病毒无法通过技术手段解密,必须拿到对应的解密私钥才有可能无损还原被加密的文件,攻击者通过这样的行为向受害者勒索高昂赎金,且赎金必须用数字货币支付,溯源难度很高,危害巨大。
勒索病毒的主要传播方法有通过服务器入侵传播、利用漏洞自动传播、供应链攻击传播、钓鱼邮件传播等。
二. 常见的勒索病毒
勒索病毒传播方法快、目标性强,病毒文件一旦被打开就会自动运行,同时自动删除病毒样本,从而躲避查杀和分析。
1. WannaCry勒索病毒
2017年WannaCry勒索病毒在全球爆发,导致上百个国家和数十万用户遭受巨大损失。WannaCry勒索病毒通过MS17-010漏洞在全球范围传播。感染该病毒后会导致计算机文件被加密,受害者计算机被锁定后,病毒会提示需要支付相应赎金解密。
2. GlobeImposter勒索病毒
GlobeImposter勒索病毒主要通过钓鱼邮件进行传播,它的攻击目标主要是开启远程桌面服务的服务器,攻击者通过暴力破解服务器密码,对内网服务发起扫描并人工投放病毒,导致文件无法正常使用,GlobeImposter勒索病毒通常以钓鱼邮件、捆绑软件等方法进行传播。
三. 如何防御勒索病毒?
1. 文件备份
勒索病毒的目的就是通过把受害机的文件进行加密,从而勒索高额赎金。而我们在日常工作中可以有计划的将文件进行备份,这样在遭受勒索病毒攻击的时候可以很大程度上降低损失
2. 密码保护
很多情况下,攻击者之所以能渗透到企业服务器内部,是因为管理员使用了弱口令密码或账号,因此加强登录密码的安全管理也是一种必要的反勒索技术,我们可以采用弱密码检验技术强制管理员使用高复杂密码,从而实现对密码的保护。同时我们也可以使用反暴力破解技术,对于陌生IP地址用户的登录位置和登录层数进行严格控制。
四. 遭遇勒索病毒后如何处置?
1. 隔离被感染的主机
隔离被感染的主机的目的首先是防止勒索病毒通过网络继续感染其他主机,并且将感染病毒的主机隔离后可以防止攻击者通过感染的主机继续操控其它设备。
隔离被感染主机的主要方法有断网、断电、关闭无线网络、关闭蓝牙链接、禁用网卡、拔掉所有外部存储设备等。
2. 排查业务系统
业务系统的的受影响程度直接关系事件的风险等级,在隔离被感染的主机后,应该对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,并检查备份系统是否被加密,以确定感染范围。如果备份系统是安全的,就可以避免支付赎金,顺利恢复文件。
3. 溯源分析
勒索病毒在感染主机后,攻击者通常会留下勒索提示信息。受害者可以从被加密的磁盘目录中寻找勒索提示信息,一些提示信息中会包含勒索病毒的标识,由此可以直接判断本次感染的是哪一类勒索病毒,再通过勒索病毒处置工具查看能否直接进行解密。
溯源分析一般需要查看服务器或主机保留的日志和样本,通过日志可以判断勒索病毒可能是通过哪种方法入侵的主机,如果日志被删除,就需要在主机上寻找相关的病毒样本或可疑文件,再通过这些可疑文件判断病毒的入侵途径,当然也可以直接使用专业的分析工具进行溯源分析。
4.恢复数据
如果存在数据备份,可以通过还原备份数据的方式直接恢复数据。
如果没有数据备份,在确定勒索病毒的种类之后,可以使用相应的解密工具进行数据恢复。
或者在极端情况下,可以使用磁盘数据恢复技术恢复被删除的文件(个人经验觉得,磁盘数据恢复技术有时并不能完全恢复所有磁盘数据,甚至有极个别情况磁盘数据恢复技术无法恢复被删除的文件,所以非必要情况下不建议使用这种方法)
5. 后续防护
对所有服务器、终端使用复杂密码,杜绝弱口令密码
杜绝使用同一个密码管理多个主机
安装杀毒软件、终端安全设备,及时更新病毒库
及时安装漏洞补丁
开启关键日志收集功能,为安全事件的溯源分析提供支撑
对内网的安全域进行合理划分,限制横向移动范围
对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控
对业务系统及数据进行及时备份,定期验证备份系统及备份数据的可用性
建立安全灾备预案,一旦核心系统遭受攻击,确保备份业务系统可以立即启用,同时做好备份系统与主系统的安全隔离,避免主系统与备份系统同时被攻击。