勒索病毒介紹
勒索病毒,是一種新型電腦病毒,重要以郵件、程序木馬的情勢進行傳播。該病毒性子惡劣、危害極大,一旦感染將給路段帶來營業(yè)終端,數(shù)據(jù)被加密等無法估量的損失,且該病毒具備傳染性,可能對網(wǎng)絡中所有設備進行攻擊,造成感染。
投毒步驟
①攻擊者發(fā)現(xiàn)了暴露在公網(wǎng)上的設備A
②通過代理服務器進行慢速爆破避免被安全設備識別
③取得設備A控制權后繼承滲透服務器A
④攻陷服務器A后發(fā)現(xiàn)是測試環(huán)境通過遠控繼承橫向擴散
⑤當發(fā)現(xiàn)被攻陷的服務器中存在有價值的信息后打開加密開關
預防手段
基礎安全加固
資產(chǎn)安全優(yōu)化
針對內(nèi)網(wǎng)的資產(chǎn)、威脅及風險,進行持續(xù)性檢測;基于威脅情報驅(qū)動,增強云端、邊界、端點的聯(lián)動,實現(xiàn)防御、檢測、相應閉環(huán)。
對弱密碼情況進行處置,保證密碼的復雜度,降低被破解密碼入侵的風險
定期升級體系或應用至最新狀況,并全盤進行查殺,對體系進行深度清理,保證體系的安全性。
安全運營提拔
定期備份緊張資料以及數(shù)據(jù)
進行資產(chǎn)梳理,確保所有主機資產(chǎn)都有用記錄并準時進行主機安裝更新。
進步安全意識避免點擊釣魚郵件中的惡意Office文檔和鏈接
應該確保安裝專業(yè)的反病毒產(chǎn)品,而不僅僅只安裝“電腦管家”、“電腦助手”等輔助類工具。最緊張的是,必要確保這些專業(yè)的反病毒產(chǎn)品實時運行,并定期更新。
不要輕信網(wǎng)上的“專業(yè)恢復公司”,假如木已成舟,確認悉數(shù)文件已經(jīng)被加密,此時應該追求專業(yè)安全人員的幫助,切忌盲目使用搜索引擎查找網(wǎng)上的所謂解決方案,以及不要輕信網(wǎng)上的“專業(yè)恢復公司”。部分勒索軟件,攻擊者不僅嘗試感染用戶電腦,并且還在網(wǎng)絡上以“專業(yè)的勒索軟件消滅公司”為名義發(fā)布廣告。
處理手段
應急處理——>克制處理——>根除
應急處理
發(fā)現(xiàn)文件被加密或者彈出勒索相干提醒時,不要立即重啟電腦,防止病毒發(fā)作及擴散;
確認主機遭受勒索病毒后,應對受影響的主機及其所在區(qū)域進行斷網(wǎng)隔離,方法不限于關機、禁用有線網(wǎng)卡、無線網(wǎng)卡或拔掉網(wǎng)線、防止感染其他終端,并立即向上級主管部門報告;
評估病毒影響范圍并一一排查確認,增強全網(wǎng)的訪問控制策略(如防火墻策略等),防止病毒擴散。
若數(shù)據(jù)較為緊張的情況下,可臨時先不要刪除或損壞被加密數(shù)據(jù)、并確認是否有能解決的方案。
克制處理
下線中毒設備,使用備用設備(確認已提前打好補丁并將殺毒軟件升級至最新版本)盡快進行營業(yè)恢復;
對轄內(nèi)體系未中毒的設備進行補丁修復及安全加固,以免勒索病毒橫向擴展,影響更大范圍。
根除
1. 針對中毒設備進行全盤格式化,并重裝操作體系,并從備份文件中恢復相干軟件及數(shù)據(jù)資料。
小提醒
隨著勒索軟件影響面的漸漸擴大,一些著名安全公司也紛紛根據(jù)此前獲取的威脅情報,開發(fā)出了針對勒索軟件的專門恢復工具。在發(fā)現(xiàn)感染后,可以嘗試使用這些公司提供的工具。必要細致的有兩點,一是務需要從這些著名安全公司的官網(wǎng)下載工具并使用。第二是,盡管目前存在肯定數(shù)量的恢復工具,但仍然無法確??隙軐崿F(xiàn)恢復,甚至成功恢復的概率是偏低的,因此要有響應的生理預期。下面匯總了著名廠商的恢復工具,列舉如下作為參考:
(1) 卡巴斯基免費勒索軟件解密器:
https://noransom.kaspersky.com/
(2) Avast的免費勒索軟件解密工具:
https://www.avast.com/zh-cn/ransomware-decryption-tools
(3) 反病毒廠商EMSISOFT的解密工具:
https://www.emsisoft.com/decrypter/
(4) 著名安全研究團隊MalwareTeam的工具:
https://id-ransomware.malwarehunterteam.com/
(5) Nomoreransom勒索軟件解密工具集:
https://www.nomoreransom.org/zh/decryption-tools.html