在討論如何防勒索病毒話題之前,先來了解一下什么是勒索病毒����。
什么是勒索病毒?
勒索病毒并不是某一個病毒�,而是一類病毒的統(tǒng)稱,主要以郵件����、程序、木馬���、網(wǎng)頁掛馬的形式進(jìn)行傳播����,利用各種加密算法對文件進(jìn)行加密����,被感染者一般無法解密��,必須拿到解密的私鑰才有可能破解���。
已知最早的勒索軟件出現(xiàn)于 1989 年�����,名為“艾滋病信息木馬”(Trojan/DOS.AidsInfo�����,亦稱“PC Cyborg木馬”)�����,其作者為 Joseph Popp�����。早期的勒索病毒主要通過釣魚郵件�����,掛馬�����,社交網(wǎng)絡(luò)方式傳播����,使用轉(zhuǎn)賬等方式支付贖金,其攻擊范疇和持續(xù)攻擊能力相對有限���,相對容易追查��。2006 年出現(xiàn)的 Redplus 勒索木馬(Trojan/Win32.Pluder)�����,是國內(nèi)首個勒索軟件�。2013下半年開始,是現(xiàn)代勒索病毒正式成型的時期��。勒索病毒使用AES和RSA對特定文件類型進(jìn)行加密�,使破解幾乎不可能。同時要求用戶使用虛擬貨幣支付��,以防其交易過程被跟蹤�。這個時期典型的勒索病毒有CryptoLocker,CTBLocker等�����。自2016年開始��,WannaCry勒索蠕蟲病毒大爆發(fā)���,且目的不在于勒索錢財,而是制造影響全球的大規(guī)模破壞行動����。
戲劇性的是��,在此階段��,勒索病毒已呈現(xiàn)產(chǎn)業(yè)化�、家族化持續(xù)運(yùn)營狀態(tài)��。
自2018年開始�,勒索木馬技術(shù)日益成熟,已將攻擊目標(biāo)從最初的大面積撒網(wǎng)無差別攻擊�����,轉(zhuǎn)向精準(zhǔn)攻擊高價值目標(biāo)��。比如直接攻擊醫(yī)療行業(yè)��,企事業(yè)單位���、政府機(jī)關(guān)服務(wù)器���,包括制造業(yè)在內(nèi)的傳統(tǒng)企業(yè)面臨著日益嚴(yán)峻的安全形勢。
(勒索病毒19年一季度行業(yè)分布情況)
(2019年最具代表性的勒索病毒家族排行榜)
勒索病毒工作原理
勒索病毒文件一旦進(jìn)入被攻擊者本地�����,就會自動運(yùn)行,同時刪除勒病毒母體��,以躲避查殺�����、分析和追蹤(變異速度快�,對常規(guī)的殺毒軟件都具有免疫性)。接下來利用權(quán)限連接黑客的服務(wù)器����,上傳本機(jī)信息并下載加密私鑰與公鑰,利用私鑰和公鑰對文件進(jìn)行加密(先使用 AES-128 加密算法把電腦上的重要文件加密�����,得到一個密鑰����;再使用 RSA-2048 的加密算法把這個密鑰進(jìn)行非對稱加密���。)�。除了病毒開發(fā)者本人,其他人是幾乎不可能解密��。如果想使用計算機(jī)暴力破解�����,根據(jù)目前的計算能力�����,幾十年都算不出來����。如果能算出來,也僅僅是解開了一個文件��。(當(dāng)然��,理論上來說���,也可以嘗試破解被 RSA-2048 算法加密的總密鑰�����,至于破解所需要的時間�,恐怕地球撐不到那個時候。)加密完成后�,還會鎖定屏幕,修改壁紙����,在桌面等顯眼的位置生成勒索提示文件,指導(dǎo)用戶去繳納贖金����。
值得一提的是,有的勒索方式索要贖金是比特幣���,如果你不會交易流程�����,可能會遭到勒索者的二次嘲諷:自己上網(wǎng)查�����!( Ĭ ^ Ĭ )
以下為APT沙箱分析到勒索病毒樣本載體的主要行為:
1����、調(diào)用加密算法庫;
2��、通過腳本文件進(jìn)行Http請求�����;
3����、通過腳本文件下載文件��;
4���、讀取遠(yuǎn)程服務(wù)器文件����;
5�����、通過wscript執(zhí)行文件����;
6、收集計算機(jī)信息;
7�����、遍歷文件�。
該樣本主要特點(diǎn)是通過自身的解密函數(shù)解密回連服務(wù)器地址,通過HTTP GET 請求訪問加密數(shù)據(jù)��,保存加密數(shù)據(jù)到TEMP目錄���,然后通過解密函數(shù)解密出數(shù)據(jù)保存為DLL��,然后再運(yùn)行DLL (即勒索者主體)�。該DLL樣本才是導(dǎo)致對數(shù)據(jù)加密的關(guān)鍵主體����,且該主體通過調(diào)用系統(tǒng)文件生成密鑰,進(jìn)而實(shí)現(xiàn)對指定類型的文件進(jìn)行加密��,即無需聯(lián)網(wǎng)下載密鑰即可實(shí)現(xiàn)對文件加密�。同時,在沙箱分析過程中發(fā)現(xiàn)了該樣本大量的反調(diào)試行為�����,用于對抗調(diào)試器的分析,增加了調(diào)試和分析的難度�。
如何防勒索病毒?
不要打開陌生人或來歷不明的郵件�,防勒索病毒通過郵件的攻擊;
需要的軟件從正規(guī)(官網(wǎng))途徑下載���;
升級殺毒軟件到最新版本,阻止已存在的病毒樣本攻擊�;
Win7、Win 8.1���、Win 10用戶�,盡快安裝微軟MS17-010的官方補(bǔ)?����?��;
定期異地備份計算機(jī)中重要的數(shù)據(jù)和文件���,萬一中病毒可以進(jìn)行恢復(fù);
定期進(jìn)行安全培訓(xùn)�,日常安全管理可參考“三不三要”(三不:不上鉤、不打開、不點(diǎn)擊�����。三要:要備份���、要確認(rèn)���、要更新)思路。
1. 物理�,網(wǎng)絡(luò)隔離染毒機(jī)器;
2. 對于內(nèi)網(wǎng)其他未中毒電腦�����,排查系統(tǒng)安全隱患:
a)系統(tǒng)和軟件是否存在漏洞
b)是否開啟了共享及風(fēng)險服務(wù)或端口�,如135、137�、139、445���、3389
c)只允許辦公電腦�,訪問專門的文件服務(wù)器�����。使用FTP,替代文件夾共享�����。
d)檢查機(jī)器ipc空連接及默認(rèn)共享是否開啟
e)檢查是否使用了統(tǒng)一登錄密碼或者弱密碼
3. 盡量不要點(diǎn)擊office宏運(yùn)行提示�,避免來自office組件的病毒感染;
4. 盡量不要雙擊打開.js�、.vbs等后綴名文件���;
5. 事后處理
在無法直接獲得安全專業(yè)人員支持的情況下����,可考慮如下措施:
通過管家勒索病毒搜索引擎搜索�����,獲取病毒相關(guān)信息��。搜索引擎地址(https://guanjia.qq.com/pr/ls/#navi_0)���,若支持解密�����,可直接點(diǎn)擊下載工具對文件進(jìn)行解密:
在如何防勒索病毒這個話題中���,人們常規(guī)的防御思維綜上所述��。雖然沒什么毛病�����,但怎么看都像是“坐以待斃”��,被動挨打��。不過也無可厚非����,畢竟見招拆招是慣性思維�。
正確的防勒索病毒手段,一定是以不變應(yīng)萬變�����。
舉個栗子:
農(nóng)場主養(yǎng)了一群羊�����,毛發(fā)油亮,膘肥體壯�����,賣相極好��,農(nóng)場主甚是欣慰����。
有一天農(nóng)場主發(fā)現(xiàn)少了幾只羊,還發(fā)現(xiàn)了狼的蹤跡�,便明白了有狼偷羊。
農(nóng)場主跟蹤狼的蹤跡�����,設(shè)置陷阱�,日夜監(jiān)督���,身心俱疲����,但還是沒有捉到狼,羊的數(shù)量還在減少�。
最后,農(nóng)場主把茅草的羊圈換成了花崗巖羊圈���,羊再也沒少過����,農(nóng)場主也再也不用去尋找狼���。
主機(jī)加固的概念便是如此�。
所以如何防勒索病毒�����,主機(jī)加固的思路才是良策�。
主機(jī)加固的核心要點(diǎn):
系統(tǒng)加固
將調(diào)試好的系統(tǒng)鎖定,變成可信系統(tǒng)�����。
在可信系統(tǒng)下���,非法程序����、腳本都無法運(yùn)行。而且不會影響數(shù)據(jù)進(jìn)出���。
即使系統(tǒng)有漏洞��,甚至管理員權(quán)限丟失��,這個可信系統(tǒng)都是安全的�。
2.程序加固
采用可信簽名方式對可執(zhí)行程序��、腳本的啟動進(jìn)行實(shí)時的hash值校驗(yàn)�,校驗(yàn)不通過拒絕啟動,并且可信程序無法被偽裝�����。
3.文件加固
保護(hù)指定類型的文件不被篡改����。
4.磁盤加密
創(chuàng)建安全沙盒��,該沙盒對外隔離�,對沙盒內(nèi)的數(shù)據(jù)進(jìn)行加密��,確保數(shù)據(jù)只能在授權(quán)管理有效前提下��,才能被解密����。如果沒有授權(quán)����,即使管理員也無法拷貝使用這些數(shù)據(jù),即使系統(tǒng)克隆也無效���。
5.數(shù)據(jù)庫加固
第一層:數(shù)據(jù)庫文件禁止陌生程序訪問和篡改�。確保數(shù)據(jù)庫文件級安全��。
第二層:數(shù)據(jù)庫端口訪問可信過濾�,只允許業(yè)務(wù)程序進(jìn)行數(shù)據(jù)庫端口通信連接,在連接字符串的IP+端口+賬號密碼中�,追加進(jìn)程身份識別。
第三層:數(shù)據(jù)庫連接SQL文進(jìn)行智能過濾����,防止關(guān)鍵數(shù)據(jù)被檢索和訪問,防止數(shù)據(jù)庫內(nèi)數(shù)據(jù)被非法訪問,防止數(shù)據(jù)庫表單的危險操作行為�。
很多問題換一種思維可能就迎刃而解。如何防勒索病毒�����,顯然用主機(jī)加固的策略更佳�����。至于主機(jī)加固產(chǎn)品如何選型�����,各位仁者見仁智者見智吧�。個人推薦MCK主機(jī)加固。這個產(chǎn)品所屬公司在數(shù)據(jù)安全領(lǐng)域可是老前輩了�,而且他們的另一個產(chǎn)品SDC沙盒在源代碼安全領(lǐng)域是很能打的。
最后��,澀情網(wǎng)站君莫入�,陌生郵件小心讀,美女果聊需當(dāng)心����,勒索病毒助你貧。
不要謝我����,叫我雷鋒,深藏功名��。
該文章在 2024/3/8 11:59:30 編輯過
400 186 1886
