勒索軟件又(yòu)稱勒索病毒,是一(yī)種特殊的惡意軟件,又(yòu)被歸類爲“阻斷訪問式攻擊”(denial-of-access attack),與其他病毒最大(dà)的不同在于攻擊手法以及中(zhōng)毒方式。勒索軟件的攻擊方式是将受害者的電腦鎖起來或者系統性地加密受害者硬盤上的文件,以此來達到勒索的目的。
所有的勒索軟件都會要求受害者繳納贖金以取回對電腦的控制權,或是取回受害者根本無從自行獲取的解密密鑰以便解密文件。勒索軟件一(yī)般通過木馬病毒的形式傳播,将自身掩蓋爲看似無害的文件,通常假冒普通電子郵件等社會工(gōng)程學方法欺騙受害者點擊鏈接下(xià)載,但也有可能與許多其他蠕蟲病毒一(yī)樣利用軟件的漏洞在互聯網的電腦間傳播。
根據勒索軟件對受害者系統所采取的措施,主要可以分(fēn)爲以下(xià)幾類:
使用加密算法(如AES、RSA等)将用戶的文件進行加密,用戶在沒有秘鑰的情況下(xià)無法操作自己的文件。用戶可以訪問設備,但是對設備内的數據無法操作。
不加密用戶的文件,但是通過修改一(yī)些配置或者系統文件,使得用戶無法進入設備。
勒索軟件的入侵方式
一(yī)些小(xiǎo)範圍傳播的敲詐勒索病毒會通過共享文件的方式進行傳播,黑客會将病毒上傳到網絡共享空間、雲盤、QQ群、BBS論壇等,以分(fēn)享的方式發送給特定人群,進而誘騙其下(xià)載安裝。
此外(wài),不法黑客還常會編造出“殺毒軟件會産生(shēng)誤報,運行之前需要退出殺毒軟件”之類的理由,誘騙受害者關閉殺毒軟件後運行。
勒索軟件與正常合法軟件一(yī)起捆綁發布在各大(dà)下(xià)載網站或者論壇,當用戶下(xià)載該軟件後便會中(zhōng)招。
勒索者利用有價值、有權威或訪問量較大(dà)網站的缺陷植入惡意代碼,當受害者訪問該網址,或者下(xià)載相關文件時便會中(zhōng)招。
勒索軟件制作者通過入侵軟件開(kāi)發、分(fēn)發、升級服務等環節,在軟件開(kāi)發過程中(zhōng),就會在産品組件中(zhōng)混入病毒,通過入侵、劫持軟件下(xià)載站、升級服務器,當用戶正常進行軟件安裝或升級服務時勒索病毒趁虛而入。這種傳播方式利用了用戶與軟件供應商(shāng)之間的信任關系,成功繞開(kāi)了傳統安全産品的圍追堵截,傳播方式上更加隐蔽,危害也更爲嚴重。
針對服務器、個人用戶或特定目标,通過使用弱口令、滲透、漏洞等方式獲取相應權限。例如NotPetya會對口令進行暴力破解然後在局域網内傳播。
利用系統或者第三方軟件存在的漏洞實施攻擊。例如WannaCry便利用了SMBV1的一(yī)組漏洞進行攻擊和傳播。
利用一(yī)些端口的業務機制,找到端口的漏洞,進行攻擊。如WannaCry利用Windows操作系統445端口存在的漏洞進行傳播,并具有自我(wǒ)複制、主動傳播的特性。常見的高危端口有135、139、445、3389、5800/5900等。建議盡量關閉此類端口。
勒索軟件不會隻采取一(yī)種攻擊方式來進行攻擊和傳播,通常是上述多種攻擊的組合。
對于阻止勒索軟件攻擊,最有效的方法是防止攻擊進入組織内部。
首先,推薦通過組織級的IT基礎設施方案來統一(yī)設置主機。通過AD服務器的組策略、企業級殺毒軟件的控制中(zhōng)心等,可以保證安全措施執行到位。
其次,提高關于員(yuán)工(gōng)的信息安全教育。通過信息安全宣傳,培訓員(yuán)工(gōng)養成良好的辦公習慣,識别和防範典型的攻擊手法,是避免勒索軟件攻擊的有效手段。
主機側防護措施可參考以下(xià)方法:
-
開(kāi)啓系統防火(huǒ)牆,利用防火(huǒ)牆阻止特定端口的連接,或者禁用特定端口。
-
升級最新的殺毒軟件,或者部署專殺工(gōng)具。
-
更新補丁,修複勒索軟件所利用的含漏洞軟件。
-
各項登錄、鑒權操作的用戶名、密碼複雜(zá)度要符合要求。
-
設置帳戶鎖定策略。
-
阻止宏自動運行,謹慎啓用宏。
-
僅從指定位置下(xià)載軟件。
-
不要打開(kāi)來源不明郵件的附件和鏈接。
-
定期做好異地備份,這是系統被感染後數據盡快恢複的最好手段,以勒索軟件的套路,即使交付贖金,也不一(yī)定保證本地數據會被解密。
-
在Windows文件夾中(zhōng)設置顯示“文件擴展名”,可以更輕易地發現潛在的惡意文件。
防禦勒索軟件攻擊的關鍵在于預防,即在勒索軟件進入組織并造成實質性損壞之前,攔截攻擊。最佳方法是設置以防火(huǒ)牆爲基礎的多層安全防禦體(tǐ)系,避免攻擊者突破一(yī)層防禦之後長驅直入。嚴格的安全策略是最簡單有效的防護手段;僅對外(wài)開(kāi)放(fàng)必需的服務,封堵高危端口,可以減小(xiǎo)暴露面。
阻斷已知(zhī)威脅,通常可以使攻擊者放(fàng)棄攻擊,否則攻擊者就需要創建新的勒索軟件,或者利用新的漏洞,其成本必然增加。同時,啓用文件過濾,可以限制高風險類型文件進入網絡;利用URL過濾阻斷惡意網站,可以避免用戶無意中(zhōng)下(xià)載惡意軟件。在安全性要求較高的網絡中(zhōng),還可以部署FireHunter沙箱、HiSecInsight、誘捕系統,全面感知(zhī)安全态勢。
拔掉網線或者修改網絡連接設置,從網絡中(zhōng)隔離(lí)所有被勒索的設備,防止勒索軟件進一(yī)步傳播,控制影響範圍。同時排查受影響的主機數量,記錄問題現象。
關閉其他未感染主機的高危端口。在局域網内其它未感染設備上,關閉常見的高危端口(包括135、139、445、3389等),或設置可訪問此端口的用戶/計算機。
嘗試使用殺毒軟件掃描和清除勒索軟件。請重啓操作系統,進入安全模式,安裝/殺毒軟件并全盤掃描。
勒索軟件搜索文件并加密需要一(yī)定的時間,及早清理勒索軟件可以降低其危害程度,也能避免它重複鎖定系統或加密文件。
保護現場。不要直接重新安裝操作系統。如果被加密鎖定數據比較重要,建議做好被加密文件的備份和環境的保護,防止因爲環境破壞造成無法解密等。
訪問“No More Ransom”網站,使用解碼刑警(Crypto Sheriff)确定勒索軟件的類型,并檢查是否有可用的解密方案,有機會破解并恢複文件。
求助專業技術人員(yuán)進行取證操作,以便分(fēn)析勒索軟件的攻擊路徑,對攻擊路徑進行溯源。
在操作系統的事件查看器中(zhōng),查看安全日志(zhì),重點關注登錄失敗事件。在網絡設備中(zhōng)查看安全日志(zhì)、會話(huà)日志(zhì),重點關注暴力破解、SMB等重大(dà)漏洞攻擊事件。
如果勒索軟件無法移除、被加密數據不可恢複,請備份被加密數據(或許有恢複的可能),然後格式化硬盤驅動器,擦除所有數據(包括受感染的數據),重新安裝操作系統和應用程序。
