【安全預(yù)警】勒索病毒攻擊重現(xiàn)
發(fā)布時(shí)間:
2018.03.01 | 來(lái)源:
帕拉迪
近日,湖南的兩家醫(yī)院相繼遭到了勒索病毒的攻擊���,這不僅給醫(yī)院的日常運(yùn)作增添了麻煩,同時(shí)也造成了不良的社會(huì)響應(yīng)���。痛定思痛�,本期就和大家聊下關(guān)于勒索病毒的若干問(wèn)題�����,并提供相應(yīng)的解決方法,所有企業(yè)客戶可以以此建議為參考做好提前防御�����!
勒索病毒就是一種惡意軟件����,在設(shè)備上運(yùn)行就會(huì)加密或銷毀相應(yīng)的計(jì)算機(jī)文件,造成企業(yè)以及個(gè)人的業(yè)務(wù)損失���。
一般的傳播途徑為:
1����、 通過(guò)社交網(wǎng)絡(luò)或是電子郵件的附件形式發(fā)送給受害者���,誘使其點(diǎn)擊運(yùn)行從而造成破壞���。
2、 通過(guò)系統(tǒng)的安全漏洞或者通過(guò)系統(tǒng)弱密碼暴力破解�,控制系統(tǒng)的操作權(quán)限從而實(shí)施破壞;
為了讓大家了解勒索病毒的威脅及工作原理�,漢武安全實(shí)驗(yàn)室搭建了一套環(huán)境重現(xiàn)病毒的整個(gè)加密及感染過(guò)程。
一����、通過(guò)下載pestudio對(duì)病毒文件進(jìn)行分析�����,在virustotal模塊中可以知道這個(gè)文件是否已經(jīng)被主流殺毒軟件廠商標(biāo)識(shí)了病毒特征從而判斷是否是病毒文件���。建議大家以后接受一些exe/bin等格式的文件不要直接運(yùn)行,最好通過(guò)這個(gè)軟件提前檢測(cè)下���。
二��、在網(wǎng)上下載勒索病毒樣本�����,改變其格式為exe文件雙擊運(yùn)行�����,大家可以觀察下我桌面的文件狀態(tài)的變化。
感染前后對(duì)比
三�����、感染后,病毒會(huì)在桌面提供一個(gè)頁(yè)面�,用于告訴受害者如何提交贖金。一般贖金支付方式以tor洋蔥網(wǎng)絡(luò)訪問(wèn)暗網(wǎng)的鏈接(主要是為了實(shí)現(xiàn)網(wǎng)絡(luò)匿名無(wú)法追溯)呈現(xiàn)�,并以比特幣支付。因?yàn)槠鋵?shí)現(xiàn)的加密方式是基于RSA(公私鑰)和AES(對(duì)稱加密)����,私鑰只有黑客擁有,理論上需要解密文件繳納贖金是唯一解�。最糟糕的是你繳納了贖金,黑客也不一定為你解密���。天下最痛苦的事情莫過(guò)于此��!
如遇到此類情況���,第一時(shí)間應(yīng)急響應(yīng)措施:
1、立即斷開(kāi)已經(jīng)感染的主機(jī)系統(tǒng)的網(wǎng)絡(luò)連接���,防止進(jìn)一步擴(kuò)散����;
2、采用數(shù)據(jù)恢復(fù)軟件�、磁盤(pán)硬件數(shù)據(jù)恢復(fù)服務(wù)進(jìn)行數(shù)據(jù)恢復(fù),盡可能挽回?cái)?shù)據(jù)損失�����;
3��、已經(jīng)感染終端�,根據(jù)終端被加密數(shù)據(jù)重要性決定處置方式,安裝全新操作系統(tǒng)���,并完善操作系統(tǒng)補(bǔ)丁���、安裝防病毒軟件并通過(guò)檢查確認(rèn)無(wú)相關(guān)漏洞后再恢復(fù)網(wǎng)絡(luò)連接。
那怎么做才能讓自己避免陷入被動(dòng)��?既然事后于事無(wú)補(bǔ)��,我們防御思路應(yīng)該集中在事前和事中�。以下是我們的一些安全建議:
1.數(shù)據(jù)備份。當(dāng)然僅僅做好數(shù)據(jù)備份還不夠��,我們需要日常對(duì)備份的數(shù)據(jù)進(jìn)行恢復(fù)演練��。這樣在遭到破壞的第一時(shí)間才能做出應(yīng)急應(yīng)對(duì)。
2.保持系統(tǒng)的更新�����。雖然在實(shí)際的生產(chǎn)過(guò)程中���,更新系統(tǒng)的業(yè)務(wù)連續(xù)性驗(yàn)證會(huì)比較麻煩,但是為了做好安全�,作為企業(yè)的IT管理人員還是應(yīng)該積極的面對(duì)這些麻煩事。
3.避免弱密碼利用����。設(shè)置高強(qiáng)度的密碼,并做好周期性的改密計(jì)劃�。
4.核心資產(chǎn)做好防護(hù)。核心就是做好隔離�,有物理網(wǎng)絡(luò)的隔離,也可以通過(guò)防火墻ACL進(jìn)行端口級(jí)別的控制�����。
5.終端安全�����。為每個(gè)終端安裝主流版本的殺毒軟件,并保證病毒特征庫(kù)的更新�。
極為重要!?���。〖訌?qiáng)內(nèi)部員工的安全培訓(xùn)�。譬如:郵件的附件、社交工具傳輸?shù)膱?zhí)行文件不輕易點(diǎn)擊���。
針對(duì)此類事件����,
帕拉迪建議提前做好預(yù)防方為上策��!
帕拉迪推出的IAM系統(tǒng)就專門(mén)治理企業(yè)數(shù)據(jù)中心業(yè)務(wù)及主機(jī)的弱口令問(wèn)題及核 心權(quán)限訪問(wèn)控制問(wèn)題�;讓網(wǎng)絡(luò)中每個(gè)進(jìn)出數(shù)據(jù)中心的行為都可管理、可控制��、可追朔 �����。
1.通過(guò)IAM-SMS運(yùn)維審計(jì)模塊對(duì)資產(chǎn)進(jìn)行資產(chǎn)弱密碼周期性的自動(dòng)修改����,防止弱密碼的暴力破解���。
2.通過(guò)IAM-SCM準(zhǔn)入控制模塊防止未授權(quán)IP訪問(wèn)重要資產(chǎn)的管理端口。
3.通過(guò)IAM-WEB安全模塊為業(yè)務(wù)系統(tǒng)進(jìn)行安全建模�,防止黑客通過(guò)WEBSHELL網(wǎng)頁(yè)木馬上傳此類勒索病毒進(jìn)一步感染核心服務(wù)器�。