【安全預警】勒索病毒攻擊重現
發布時間:
2018.03.01 | 來源:
帕拉迪
近日,湖(hú)南(nán)的兩家醫(yī)院相(xiàng)繼遭到(dào)了勒索病毒的攻擊,這不僅給醫(yī)院的日常運作增添了麻煩,同時也造成了不良的社會(huì)響應。痛定思痛,本期就(jiù)和大家聊下(xià)關于勒索病毒的若幹問題,并提供相(xiàng)應的解決方法,所有企業(yè)客戶可以以此建議為(wèi)參考做好提前防禦!
勒索病毒就(jiù)是一(yī)種惡意軟件(jiàn),在設備上(shàng)運行就(jiù)會(huì)加密或銷毀相(xiàng)應的計算(suàn)機(jī)文件(jiàn),造成企業(yè)以及個(gè)人的業(yè)務損失。
一(yī)般的傳播途徑為(wèi):
1、 通(tōng)過社交網絡或是電(diàn)子郵件(jiàn)的附件(jiàn)形式發送給受害者,誘使其點擊運行從(cóng)而造成破壞。
2、 通(tōng)過系統的安全漏洞或者通(tōng)過系統弱密碼暴力破解,控制系統的操作權限從(cóng)而實施破壞;
為(wèi)了讓大家了解勒索病毒的威脅及工(gōng)作原理,漢武安全實驗室搭建了一(yī)套環境重現病毒的整個(gè)加密及感染過程。
一(yī)、通(tōng)過下(xià)載pestudio對病毒文件(jiàn)進行分析,在virustotal模塊中可以知道這個(gè)文件(jiàn)是否已經被主流殺毒軟件(jiàn)廠商标識了病毒特征從(cóng)而判斷是否是病毒文件(jiàn)。建議大家以後接受一(yī)些exe/bin等格式的文件(jiàn)不要直接運行,最好通(tōng)過這個(gè)軟件(jiàn)提前檢測下(xià)。
二、在網上(shàng)下(xià)載勒索病毒樣本,改變其格式為(wèi)exe文件(jiàn)雙擊運行,大家可以觀察下(xià)我桌面的文件(jiàn)狀态的變化。
感染前後對比
三、感染後,病毒會(huì)在桌面提供一(yī)個(gè)頁面,用于告訴受害者如何提交贖金。一(yī)般贖金支付方式以tor洋蔥網絡訪問暗(àn)網的鏈接(主要是為(wèi)了實現網絡匿名無法追溯)呈現,并以比特币支付。因為(wèi)其實現的加密方式是基于RSA(公私鑰)和AES(對稱加密),私鑰隻有黑(hēi)客擁有,理論上(shàng)需要解密文件(jiàn)繳納贖金是唯一(yī)解。最糟糕的是你繳納了贖金,黑(hēi)客也不一(yī)定為(wèi)你解密。天下(xià)最痛苦的事(shì)情莫過于此!
如遇到(dào)此類情況,第一(yī)時間應急響應措施:
1、立即斷開(kāi)已經感染的主機(jī)系統的網絡連接,防止進一(yī)步擴散;
2、采用數據恢複軟件(jiàn)、磁盤硬件(jiàn)數據恢複服務進行數據恢複,盡可能(néng)挽回數據損失;
3、已經感染終端,根據終端被加密數據重要性決定處置方式,安裝全新操作系統,并完善操作系統補丁、安裝防病毒軟件(jiàn)并通(tōng)過檢查确認無相(xiàng)關漏洞後再恢複網絡連接。
那怎麽做才能(néng)讓自(zì)己避免陷入被動?既然事(shì)後于事(shì)無補,我們防禦思路(lù)應該集中在事(shì)前和事(shì)中。以下(xià)是我們的一(yī)些安全建議:
1.數據備份。當然僅僅做好數據備份還(hái)不夠,我們需要日常對備份的數據進行恢複演練。這樣在遭到(dào)破壞的第一(yī)時間才能(néng)做出應急應對。
2.保持系統的更新。雖然在實際的生(shēng)産過程中,更新系統的業(yè)務連續性驗證會(huì)比較麻煩,但是為(wèi)了做好安全,作為(wèi)企業(yè)的IT管理人員(yuán)還(hái)是應該積極的面對這些麻煩事(shì)。
3.避免弱密碼利用。設置高(gāo)強度的密碼,并做好周期性的改密計劃。
4.核心資産做好防護。核心就(jiù)是做好隔離,有物(wù)理網絡的隔離,也可以通(tōng)過防火牆ACL進行端口級别的控制。
5.終端安全。為(wèi)每個(gè)終端安裝主流版本的殺毒軟件(jiàn),并保證病毒特征庫的更新。
極為(wèi)重要!!!加強内部員(yuán)工(gōng)的安全培訓。譬如:郵件(jiàn)的附件(jiàn)、社交工(gōng)具傳輸的執行文件(jiàn)不輕易點擊。
帕拉迪建議提前做好預防方為(wèi)上(shàng)策!
帕拉迪推出的IAM系統就(jiù)專門(mén)治理企業(yè)數據中心業(yè)務及主機(jī)的弱口令問題及核 心權限訪問控制問題;讓網絡中每個(gè)進出數據中心的行為(wèi)都可管理、可控制、可追朔 。
1.通(tōng)過IAM-SMS運維審計模塊對資産進行資産弱密碼周期性的自(zì)動修改,防止弱密碼的暴力破解。
2.通(tōng)過IAM-SCM準入控制模塊防止未授權IP訪問重要資産的管理端口。
3.通(tōng)過IAM-WEB安全模塊為(wèi)業(yè)務系統進行安全建模,防止黑(hēi)客通(tōng)過WEBSHELL網頁木(mù)馬上(shàng)傳此類勒索病毒進一(yī)步感染核心服務器(qì)。