【安全預警】勒索病毒攻擊重現
發布時間:
2018.03.01 | 來源:
帕拉迪
近日,湖南(nán)的兩家醫院相繼遭到了勒索病毒的攻擊,這不僅給醫院的日常運作增添了麻煩,同時也造成了不良的社會響應。痛定思痛,本期就和大(dà)家聊下(xià)關于勒索病毒的若幹問題,并提供相應的解決方法,所有企業客戶可以以此建議爲參考做好提前防禦!
勒索病毒就是一(yī)種惡意軟件,在設備上運行就會加密或銷毀相應的計算機文件,造成企業以及個人的業務損失。
一(yī)般的傳播途徑爲:
1、 通過社交網絡或是電(diàn)子郵件的附件形式發送給受害者,誘使其點擊運行從而造成破壞。
2、 通過系統的安全漏洞或者通過系統弱密碼暴力破解,控制系統的操作權限從而實施破壞;
爲了讓大(dà)家了解勒索病毒的威脅及工(gōng)作原理,漢武安全實驗室搭建了一(yī)套環境重現病毒的整個加密及感染過程。
一(yī)、通過下(xià)載pestudio對病毒文件進行分(fēn)析,在virustotal模塊中(zhōng)可以知(zhī)道這個文件是否已經被主流殺毒軟件廠商(shāng)标識了病毒特征從而判斷是否是病毒文件。建議大(dà)家以後接受一(yī)些exe/bin等格式的文件不要直接運行,最好通過這個軟件提前檢測下(xià)。
二、在網上下(xià)載勒索病毒樣本,改變其格式爲exe文件雙擊運行,大(dà)家可以觀察下(xià)我(wǒ)(wǒ)桌面的文件狀态的變化。
感染前後對比
三、感染後,病毒會在桌面提供一(yī)個頁面,用于告訴受害者如何提交贖金。一(yī)般贖金支付方式以tor洋蔥網絡訪問暗網的鏈接(主要是爲了實現網絡匿名無法追溯)呈現,并以比特币支付。因爲其實現的加密方式是基于RSA(公私鑰)和AES(對稱加密),私鑰隻有黑客擁有,理論上需要解密文件繳納贖金是唯一(yī)解。最糟糕的是你繳納了贖金,黑客也不一(yī)定爲你解密。天下(xià)最痛苦的事情莫過于此!
如遇到此類情況,第一(yī)時間應急響應措施:
1、立即斷開(kāi)已經感染的主機系統的網絡連接,防止進一(yī)步擴散;
2、采用數據恢複軟件、磁盤硬件數據恢複服務進行數據恢複,盡可能挽回數據損失;
3、已經感染終端,根據終端被加密數據重要性決定處置方式,安裝全新操作系統,并完善操作系統補丁、安裝防病毒軟件并通過檢查确認無相關漏洞後再恢複網絡連接。
那怎麽做才能讓自己避免陷入被動?既然事後于事無補,我(wǒ)(wǒ)們防禦思路應該集中(zhōng)在事前和事中(zhōng)。以下(xià)是我(wǒ)(wǒ)們的一(yī)些安全建議:
1.數據備份。當然僅僅做好數據備份還不夠,我(wǒ)(wǒ)們需要日常對備份的數據進行恢複演練。這樣在遭到破壞的第一(yī)時間才能做出應急應對。
2.保持系統的更新。雖然在實際的生(shēng)産過程中(zhōng),更新系統的業務連續性驗證會比較麻煩,但是爲了做好安全,作爲企業的IT管理人員(yuán)還是應該積極的面對這些麻煩事。
3.避免弱密碼利用。設置高強度的密碼,并做好周期性的改密計劃。
4.核心資(zī)産做好防護。核心就是做好隔離(lí),有物(wù)理網絡的隔離(lí),也可以通過防火(huǒ)牆ACL進行端口級别的控制。
5.終端安全。爲每個終端安裝主流版本的殺毒軟件,并保證病毒特征庫的更新。
極爲重要!!!加強内部員(yuán)工(gōng)的安全培訓。譬如:郵件的附件、社交工(gōng)具傳輸的執行文件不輕易點擊。
針對此類事件,
帕拉迪建議提前做好預防方爲上策!
帕拉迪推出的IAM系統就專門治理企業數據中(zhōng)心業務及主機的弱口令問題及核 心權限訪問控制問題;讓網絡中(zhōng)每個進出數據中(zhōng)心的行爲都可管理、可控制、可追朔 。
1.通過IAM-SMS運維審計模塊對資(zī)産進行資(zī)産弱密碼周期性的自動修改,防止弱密碼的暴力破解。
2.通過IAM-SCM準入控制模塊防止未授權IP訪問重要資(zī)産的管理端口。
3.通過IAM-WEB安全模塊爲業務系統進行安全建模,防止黑客通過WEBSHELL網頁木馬上傳此類勒索病毒進一(yī)步感染核心服務器。