勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。自2017年5月起,一种名为“想哭”的勒索病毒袭击全球150多个国家和地区,勒索病毒从爆发到现在一直处于不断进化,各种变种层出不穷,持续处于活跃的状态。勒索病毒严重影响包括政府部门、医疗服务、教育系统、互联网、公共安全、邮政、通信及各种企业和个人。
勒索病毒攻击传播方式
(1) RDP爆破:黑客首先RDP爆破其中一台主机,成功获取到该主机的控制权,上传黑客一整套工具,暴力破解密码
(2) 发送垃圾邮件,附加恶意链接或邮件附件,用户通过Word宏等加载PowerShell下载
(3) 感染相关网站,让访问用户下载捆绑有恶意程序的更新程序或正常软件
(4) 利用RigEK、GrandSoft、FalloutExploit等漏洞利用工具包,通过无文件方式PowerShell、JS、VBS等脚本释放加载
(5) 通过恶意下载器下载勒索病毒,不明的下载工具传播
(6) 通过U盘感染,U盘随意使用,内外网混用等,易于传播病毒
目前勒索病毒解密文件无非通过以下种方式解密:
1 黑客良心发现,主动公开密钥(例如前年的Tesla病毒)
2 被国家网安部门追查、抓捕到黑客服务器或黑客本人,公开解密密钥。
3 网络安全公司分析勒索病毒自身漏洞破解加密文件
4 地下黑产解密(某宝或网络推广)
5 给黑客户支付赎金
勒索家族变种、传播方式层出不穷,所谓你方唱罢我登台。Relec勒索病毒、DeadRansomware勒索病毒、 Saturn勒索病毒、GandCrab勒索病毒,勒索病毒横行,给资产带来了不可知的风险,增加了防御成本,为了应对最讨人厌的玩意,我们必须未雨绸缪,防护先行,构建立体的防护体系,守护一片净土。
下一代防火墙:
封禁不需要的端口3389/135/137/139/445端口的连接;开启IPS功能和防病毒功能
上网行为管理:
封禁不合规的下载软件及非法不良网站
WEB应用防火墙:
保护核心网站不被黑客利用及破坏
反垃圾邮件:
引入邮件安全网关,防止勒索病毒通过邮件传播
漏洞扫描:
及时发现系统漏洞并更新防护补丁
终端安全:
对电脑终端病毒进行查杀防护,同时限制不安全U盘的读写
堡垒机:
防止非授权人员对核心系统的非法操作及对日常运维配置审计
日志审计:
记录核心设备运行日志,分析追溯安全事件
备份一体机:
重要系统和数据的离线备份,确保重要数据不丢失
网友评论