:勒索病毒的防范處理措施自2017年5月WannaCry(永恒之藍(lán)勒索蠕蟲)大規(guī)模爆發(fā)以來����,勒索病毒對政企機(jī)構(gòu)和網(wǎng)民的威脅極大:企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升,數(shù)百萬甚至上億贖金的勒索案件不斷出現(xiàn)����。
2021年3月,全球新增活躍勒索病毒:FancyBear�����、Hog��、DearCry��、Sarbloh�����、BadGopher����、RunExeMemory、Phoenix CryptoLocker等�����。其中FancyBear還處于開發(fā)階段,DearCry是本月最先被捕獲使用Exchange漏洞投發(fā)勒索病毒的家族��,新出現(xiàn)的PhoenixCryptoLocker可能與Evil黑客組織相關(guān)�。
勒索病毒給企業(yè)和個(gè)人帶來的影響范圍越來越廣,危害性也越來越大���。本文介紹了一些勒索病毒的防范和處理措施����,希望能夠幫助讀者免受勒索病毒侵害�。
一、如何判斷病情
如何判斷計(jì)算機(jī)是否中了勒索病毒呢����?勒索病毒有區(qū)別于其他病毒的明顯特征:加密受害者主機(jī)的文檔和數(shù)據(jù),然后對受害者實(shí)施勒索�����,從中非法謀取私利����。勒索病毒的主要目的是為了勒索��,黑客在植入病毒完成加密后,會(huì)提示受害者您的文件已經(jīng)被加密了無法再打開���,需要支付贖金才能恢復(fù)文件���。如果計(jì)算機(jī)出現(xiàn)了以下特征,可表明已經(jīng)中了勒索病毒�。
1、電腦桌面被篡改
服務(wù)器被感染勒索病毒后�����,最明顯的特征是電腦桌面發(fā)生明顯變化����,即:桌面通常會(huì)出現(xiàn)新的文本文件或網(wǎng)頁文件,這些文件用來說明如何解密的信息�,同時(shí)桌面上顯示勒索提示信息及解密聯(lián)系方式。
下面為電腦感染勒索病毒后����,幾種典型的桌面發(fā)生變化的示意圖。
2��、文件后綴被篡改
服務(wù)器感染勒索病毒后����,另外一個(gè)典型特征是:辦公文檔�、照片���、視頻等文件的圖標(biāo)變?yōu)椴豢纱蜷_形式��,或者文件擴(kuò)展名被篡改����。一般來說����,文件擴(kuò)展名會(huì)被改成勒索病毒家族的名稱或其家族代表標(biāo)志,如:GlobeImposter家族的擴(kuò)展名為dream���、TRUE���、CHAK等;Satan家族的擴(kuò)展名有satan����、sicck���;Crysis家族的擴(kuò)展名有ARROW���、arena等���。
二、如何進(jìn)行自救
1�����、正確處置方法
(一)隔離中招主機(jī)
處置方法
當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后�����,應(yīng)立即隔離被感染主機(jī)��,隔離主要包括物理隔離和訪問控制兩種手段����,物理隔離主要為斷網(wǎng)或斷電;訪問控制主要是指對訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制��。
1)物理隔離
物理隔離常用的操作方法是斷網(wǎng)和關(guān)機(jī)����。
斷網(wǎng)主要操作步驟包括:拔掉網(wǎng)線���、禁用網(wǎng)卡,如果是筆記本電腦還需關(guān)閉無線網(wǎng)絡(luò)����。
2)訪問控制
訪問控制常用的操作方法是加策略和修改登錄密碼。
加策略主要操作步驟為:在網(wǎng)絡(luò)側(cè)使用安全設(shè)備進(jìn)行進(jìn)一步隔離�����,如防火墻或終端安全監(jiān)測系統(tǒng)�;避免將遠(yuǎn)程桌面服務(wù)(RDP,默認(rèn)端口為3389)暴露在公網(wǎng)上(如為了遠(yuǎn)程運(yùn)維方便確有必要開啟���,則可通過VPN登錄后才能訪問)�,并關(guān)閉445�、139、135等不必要的端口�。
修改登錄密碼的主要操作為:立刻修改被感染服務(wù)器的登錄密碼;其次�����,修改同一局域網(wǎng)下的其他服務(wù)器密碼;第三�����,修改最高級系統(tǒng)管理員賬號的登錄密碼��。修改的密碼應(yīng)為高強(qiáng)度的復(fù)雜密碼����,一般要求:采用大小寫字母��、數(shù)字��、特殊符號混合的組合結(jié)構(gòu)�����,口令位數(shù)足夠長(15位�����、兩種組合以上)��。
處置原理
隔離的目的����,一方面是為了防止感染主機(jī)自動(dòng)通過連接的網(wǎng)絡(luò)繼續(xù)感染其他服務(wù)器����;另一方面是為了防止黑客通過感染主機(jī)繼續(xù)操控其他服務(wù)器�����。
有一類勒索病毒會(huì)通過系統(tǒng)漏洞或弱密碼向其他主機(jī)進(jìn)行傳播�,如WannaCry勒索病毒,一旦有一臺主機(jī)感染���,會(huì)迅速感染與其在同一網(wǎng)絡(luò)的其他電腦���,且每臺電腦的感染時(shí)間約為1-2分鐘。所以�,如果不及時(shí)進(jìn)行隔離,可能會(huì)導(dǎo)致整個(gè)局域網(wǎng)主機(jī)的癱瘓��。
另外�����,近期也發(fā)現(xiàn)有黑客會(huì)以暴露在公網(wǎng)上的主機(jī)為跳板����,再順藤摸瓜找到核心業(yè)務(wù)服務(wù)器進(jìn)行勒索病毒攻擊�����,造成更大規(guī)模的破壞。
當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后����,應(yīng)立即隔離被感染主機(jī),防止病毒繼續(xù)感染其他服務(wù)器�����,造成無法估計(jì)的損失�。
(二)排查業(yè)務(wù)系統(tǒng)
處置方法
在已經(jīng)隔離被感染主機(jī)后,應(yīng)對局域網(wǎng)內(nèi)的其他機(jī)器進(jìn)行排查�,檢查核心業(yè)務(wù)系統(tǒng)是否受到影響,生產(chǎn)線是否受到影響��,并檢查備份系統(tǒng)是否被加密等��,以確定感染的范圍��。
處置原理
業(yè)務(wù)系統(tǒng)的受影響程度直接關(guān)系著事件的風(fēng)險(xiǎn)等級�。評估風(fēng)險(xiǎn)�,及時(shí)采取對應(yīng)的處置措施��,避免更大的危害���。
另外��,備份系統(tǒng)如果是安全的���,就可以避免支付贖金,順利的恢復(fù)文件���。
所以����,當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后�,并確認(rèn)已經(jīng)隔離被感染主機(jī)的情況下,應(yīng)立即對核心業(yè)務(wù)系統(tǒng)和備份系統(tǒng)進(jìn)行排查���。
(三)聯(lián)系專業(yè)人員
在應(yīng)急自救處置后���,建議第一時(shí)間聯(lián)系專業(yè)的技術(shù)人士或安全從業(yè)者,對事件的感染時(shí)間�����、傳播方式,感染家族等問題進(jìn)行排查���。
2��、錯(cuò)誤處置方法
(一)使用移動(dòng)存儲(chǔ)設(shè)備
錯(cuò)誤操作
當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后���,在中毒電腦上使用U盤�、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備。
錯(cuò)誤原理
勒索病毒通常會(huì)對感染電腦上的所有文件進(jìn)行加密�,所以當(dāng)插上U盤或移動(dòng)硬盤時(shí),也會(huì)立即對其存儲(chǔ)的內(nèi)容進(jìn)行加密��,從而造成損失擴(kuò)大�。從一般性原則來看,當(dāng)電腦感染病毒時(shí)���,病毒也可能通過U盤等移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行傳播��。
所以�����,當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后�����,切勿在中毒電腦上使用U盤��、移動(dòng)硬盤等設(shè)備�����。
(二)讀寫中招主機(jī)上的磁盤文件
錯(cuò)誤操作
當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后�����,輕信網(wǎng)上的各種解密方法或工具����,自行操作。反復(fù)讀取磁盤上的文件后反而降低數(shù)據(jù)正確恢復(fù)的概率��。
錯(cuò)誤原理
很多流行勒索病毒的基本加密過程為:
1)首先��,將保存在磁盤上的文件讀取到內(nèi)存中����;
2)其次���,在內(nèi)存中對文件進(jìn)行加密;
3)最后�����,將修改后的文件重新寫到磁盤中����,并將原始文件刪除。
也就是說�����,很多勒索病毒在生成加密文件的同時(shí)�����,會(huì)對原始文件采取刪除操作��。理論上說�,使用某些專用的數(shù)據(jù)恢復(fù)軟件���,還是有可能部分或全部恢復(fù)被加密文件的���。
而此時(shí)�,如果用戶對電腦磁盤進(jìn)行反復(fù)的讀寫操作���,有可能破壞磁盤空間上的原始文件�����,最終導(dǎo)致原本還有希望恢復(fù)的文件徹底無法恢復(fù)�。
三����、如何恢復(fù)系統(tǒng)
1、歷史備份還原
如果事前已經(jīng)對文件進(jìn)行了備份�����,那么我們可以直接從云盤��、硬盤或其他災(zāi)備系統(tǒng)中��,恢復(fù)被加密的文件����。值得注意的是�,在文件恢復(fù)之前�,應(yīng)確保系統(tǒng)中的病毒已被清除,已經(jīng)對磁盤進(jìn)行格式化或是重裝系統(tǒng)��,以免插上移動(dòng)硬盤的瞬間�,或是網(wǎng)盤下載文件到本地后,備份文件也被加密���。
事先進(jìn)行備份����,既是最有效也是成本最低的恢復(fù)文件的方式�����。
2���、解密工具恢復(fù)
絕大多數(shù)勒索病毒使用的加密算法都是國際公認(rèn)的標(biāo)準(zhǔn)算法,這種加密方式的特點(diǎn)是��,只要加密密鑰足夠長���,普通電腦可能需要數(shù)十萬年才能夠破解�,破解成本是極高的。通常情況����,如果不支付贖金是無法解密恢復(fù)文件的。
但是����,對于以下三種情況,可以通過各大安全廠商提供的解密工具恢復(fù)感染文件:
1)勒索病毒的設(shè)計(jì)編碼存在漏洞或并未正確實(shí)現(xiàn)加密算法��;
2)勒索病毒的制造者主動(dòng)發(fā)布了密鑰或主密鑰�����;
3)執(zhí)法機(jī)構(gòu)查獲帶有密鑰的服務(wù)器����,并進(jìn)行了分享。
通過查詢可靠安全廠商的網(wǎng)站�,可以了解哪些勒索病毒可以被解密,同時(shí)采取相應(yīng)措施����。
3、重裝系統(tǒng)
當(dāng)文件無法解密,也覺得被加密的文件價(jià)值不大時(shí)���,也可以采用重裝系統(tǒng)的方法���,恢復(fù)系統(tǒng)。但是�����,重裝系統(tǒng)意味著文件再也無法被恢復(fù)�����。另外�,重裝系統(tǒng)后需更新系統(tǒng)補(bǔ)丁,并安裝殺毒軟件和更新殺毒軟件的病毒庫到最新版本��,而且對于服務(wù)器也需要進(jìn)行針對性的防黑加固�����。
4�、如何加強(qiáng)防護(hù)
雖說部分勒索病毒目前已有解密工具,但勒索病毒制作成本低����、利潤高,新型勒索病毒層出不窮���,并不是所有的勒索病毒都能進(jìn)行解密�����。因此����,加強(qiáng)勒索病毒的防護(hù)比中了勒索病毒之后再進(jìn)行補(bǔ)救要有效得多��。
對于高校師生���,加強(qiáng)防護(hù)主要有以下相應(yīng)措施:
養(yǎng)成良好的安全習(xí)慣
1)電腦應(yīng)當(dāng)安裝具有云防護(hù)和主動(dòng)防御功能的安全軟件���,不隨意退出安全軟件或關(guān)閉防護(hù)功能,對安全軟件提示的各類風(fēng)險(xiǎn)行為不要輕易放行���。
2)使用安全軟件的第三方打補(bǔ)丁功能對系統(tǒng)進(jìn)行漏洞管理�����,第一時(shí)間給操作系統(tǒng)和常用軟件打好補(bǔ)丁����,定期更新病毒庫,以免病毒利用漏洞自動(dòng)入侵電腦��。
3)電腦設(shè)置的口令要足夠復(fù)雜�����,包括數(shù)字�、大小寫字母、符號且長度至少應(yīng)該有8位��,不使用弱口令�,以防攻擊者破解。
4)重要文檔數(shù)據(jù)應(yīng)經(jīng)常做備份����,一旦文件損壞或丟失,也可以及時(shí)找回�。
減少危險(xiǎn)的上網(wǎng)操作
5)不要瀏覽來路不明的不良信息網(wǎng)站,這些網(wǎng)站經(jīng)常被用于發(fā)動(dòng)掛馬����、釣魚攻擊�。
6)不要輕易打開陌生人發(fā)來的郵件附件或郵件正文中的網(wǎng)址鏈接�����。也不要輕易打開擴(kuò)展名為js���、vbs、wsf�、bat、cmd��、ps1等腳本文件和exe���、scr�、com等可執(zhí)行程序�����,對于陌生人發(fā)來的壓縮文件包���,更應(yīng)提高警惕�,先使用安全軟件進(jìn)行檢查后再打開�����。
7)電腦連接移動(dòng)存儲(chǔ)設(shè)備,如U盤���、移動(dòng)硬盤等���,應(yīng)首先使用安全軟件檢測其安全性。
8)對于安全性不確定的文件�����,可以選擇在安全軟件的沙箱功能中打開運(yùn)行�,從而避免木馬對實(shí)際系統(tǒng)的破壞
該文章在 2023/6/13 11:36:43 編輯過
400 186 1886
