主机防病毒攻略之勒索病毒

勒索病毒并不是某一个病毒，而是一类病毒的统称，主要以邮件、程序、木马、网页挂马的形式进行传播，利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

已知最早的勒索软件出现于 1989 年，名为“艾滋病信息木马”（Trojan/DOS.AidsInfo，亦称“PC Cyborg木马”），其作者为 Joseph Popp。早期的勒索病毒主要通过钓鱼邮件，挂马，社交网络方式传播，使用转账等方式支付赎金，其攻击范畴和持续攻击能力相对有限，相对容易追查。2006 年出现的 Redplus 勒索木马（Trojan/Win32.Pluder），是国内首个勒索软件。2013下半年开始，是现代勒索病毒正式成型的时期。勒索病毒使用AES和RSA对特定文件类型进行加密，使破解几乎不可能。同时要求用户使用虚拟货币支付，以防其交易过程被跟踪。这个时期典型的勒索病毒有CryptoLocker，CTBLocker等。自2016年开始，WannaCry勒索蠕虫病毒大爆发，且目的不在于勒索钱财，而是制造影响全球的大规模破坏行动。

戏剧性的是，在此阶段，勒索病毒已呈现产业化、家族化持续运营状态。

自2018年开始，勒索木马技术日益成熟，已将攻击目标从最初的大面积撒网无差别攻击，转向精准攻击高价值目标。比如直接攻击医疗行业，企事业单位、政府机关服务器，包括制造业在内的传统企业面临着日益严峻的安全形势。

勒索病毒工作原理

勒索病毒文件一旦进入被攻击者本地，就会自动运行，同时删除勒病毒母体，以躲避查杀、分析和追踪（变异速度快，对常规的杀毒软件都具有免疫性）。接下来利用权限连接黑客的服务器，上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密（先使用 AES-128 加密算法把电脑上的重要文件加密，得到一个密钥；再使用 RSA-2048 的加密算法把这个密钥进行非对称加密。）。除了病毒开发者本人，其他人是几乎不可能解密。如果想使用计算机暴力破解，根据目前的计算能力，几十年都算不出来。如果能算出来，也仅仅是解开了一个文件。（当然，理论上来说，也可以尝试破解被 RSA-2048 算法加密的总密钥，至于破解所需要的时间，恐怕地球撑不到那个时候。）加密完成后，还会锁定屏幕，修改壁纸，在桌面等显眼的位置生成勒索提示文件，指导用户去缴纳赎金。

值得一提的是，有的勒索方式索要赎金是比特币，如果你不会交易流程，可能会遭到勒索者的二次嘲讽：自己上网查！( Ĭ ^ Ĭ )

以下为APT沙箱分析到勒索病毒样本载体的主要行为：

1、调用加密算法库；

2、通过脚本文件进行Http请求；

3、通过脚本文件下载文件；

4、读取远程服务器文件；

5、通过wscript执行文件；

6、收集计算机信息；

7、遍历文件。

该样本主要特点是通过自身的解密函数解密回连服务器地址，通过HTTP GET 请求访问加密数据，保存加密数据到TEMP目录，然后通过解密函数解密出数据保存为DLL，然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体，且该主体通过调用系统文件生成密钥，进而实现对指定类型的文件进行加密，即无需联网下载密钥即可实现对文件加密。同时，在沙箱分析过程中发现了该样本大量的反调试行为，用于对抗调试器的分析，增加了调试和分析的难度。

如何防勒索病毒？

青铜段位

不要打开陌生人或来历不明的邮件，防勒索病毒通过邮件的攻击；

需要的软件从正规（官网）途径下载；

升级杀毒软件到最新版本，阻止已存在的病毒样本攻击；

Win7、Win 8.1、Win 10用户，尽快安装微软MS17-010的官方补丁；

定期异地备份计算机中重要的数据和文件，万一中病毒可以进行恢复；

定期进行安全培训，日常安全管理可参考“三不三要”（三不：不上钩、不打开、不点击。三要：要备份、要确认、要更新）思路。

钻石段位

1. 物理，网络隔离染毒机器；

2. 对于内网其他未中毒电脑，排查系统安全隐患：

a）系统和软件是否存在漏洞

b）是否开启了共享及风险服务或端口，如135、137、139、445、3389

c）只允许办公电脑，访问专门的文件服务器。使用FTP，替代文件夹共享。

d）检查机器ipc空连接及默认共享是否开启

e）检查是否使用了统一登录密码或者弱密码

3. 尽量不要点击office宏运行提示，避免来自office组件的病毒感染；

4. 尽量不要双击打开.js、.vbs等后缀名文件；

5. 事后处理

在无法直接获得安全专业人员支持的情况下，可考虑如下措施：

通过管家勒索病毒搜索引擎搜索，获取病毒相关信息。搜索引擎地址（勒索病毒拦截|文件恢复_文档守护者保护文档安全 - 腾讯电脑管家

若支持解密，可直接点击下载工具对文件进行解密

王者段位

在如何防勒索病毒这个话题中，人们常规的防御思维综上所述。虽然没什么毛病，但怎么看都像是“坐以待毙”，被动挨打。不过也无可厚非，毕竟见招拆招是惯性思维。

正确的防勒索病毒手段，一定是以不变应万变。

举个栗子：

农场主养了一群羊，毛发油亮，膘肥体壮，卖相极好，农场主甚是欣慰。

有一天农场主发现少了几只羊，还发现了狼的踪迹，便明白了有狼偷羊。

农场主跟踪狼的踪迹，设置陷阱，日夜监督，身心俱疲，但还是没有捉到狼，羊的数量还在减少。

最后，农场主把茅草的羊圈换成了花岗岩羊圈，羊再也没少过，农场主也再也不用去寻找狼。

主机加固的概念便是如此。

所以如何防勒索病毒，主机加固的思路才是良策。

主机加固的核心要点：

系统加固

将调试好的系统锁定，变成可信系统。

在可信系统下，非法程序、脚本都无法运行。而且不会影响数据进出。

即使系统有漏洞，甚至管理员权限丢失，这个可信系统都是安全的。

程序加固

采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验，校验不通过

拒绝启动，并且可信程序无法被伪装。

文件加固

保护指定类型的文件不被篡改。

磁盘加密

创建安全沙盒，该沙盒对外隔离，对沙盒内的数据进行加密，确保数据只能在授权管理有效前提下，才能被解密。如果没有授权，即使管理员也无法拷贝使用这些数据，即使系统克隆也无效。

数据库加固

第一层：数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。

第二层：数据库端口访问可信过滤，只允许业务程序进行数据库端口通信连接，在连

接字符串的IP+端口+账号密码中，追加进程身份识别。

第三层：数据库连接SQL文进行智能过滤，防止关键数据被检索和访问，防止数据库

内数据被非法访问，防止数据库表单的危险操作行为。

很多问题换一种思维可能就迎刃而解。如何防勒索病毒，显然用主机加固的策略更佳。至于主机加固产品如何选型，各位仁者见仁智者见智吧。个人推荐MCK主机加固。这个产品所属公司在数据安全领域可是老前辈了，而且他们的另一个产品SDC沙盒在源代码安全领域是很能打的。

主机防病毒攻略之勒索病毒相关推荐

主机加固对服务器防勒索病毒有哪些好处
近年来,计算机以及互联网应用在中国得到普及和发展,已经深入到社会每个角落,政府,经济,军事,社会,文化和人们生活等各方面都越来越依赖于计算机和网络,电子政务,无纸办公.MIS.ERP.OA等系统也 ...
WAP手机安全上网防病毒攻略
随着WAP手机技术的日趋成熟,接入互联网轻松获得大量的信息已成为未来手机发展的必然趋势.而且随着配备Java功能的i模式手机登场,手机接入互联网更为便捷,势必会因此增加手机感染病毒的机会.由于通过网络 ...
变种、入.侵专网，勒索病毒你不得不关注的攻.击趋势
2017年5月12日,一种名为"WannaCry"的勒索病毒袭击全球150多个国家和地区,影响领域包括政府部门.医疗服务.教育.公共交通.邮政.通信和汽车制造业.很多这次攻.击事件 ...
勒索病毒入侵中国， Splunk建议网络立即进行区分和隔离设置
针对日前席卷全球的勒索病毒WannaCry(也被称作WanaCrypt或WCry),领先的实时运营智能 (Operational Intelligence) 软件平台提供商Splunk公司威胁调研(T ...
某某客户的一次勒索病毒应急响应
Lockbit勒索病毒应急响应背景 1.应急处理排查 2.勒索病毒来源分析 3.勒索病毒分析 4.勒索病毒解密 5.主机分析分析 6.后续安全加固和改进措施结论背景美好的周六刚开始,眼睛一睁, ...
谷歌SEO老域名攻略
老域名是指那些域名注册时间在6个月以上的域名,一般时间越长域名品质越好.在没有黑历史的情况下,使用老域名做谷歌SEO推广可以更容易获得一个好的排名,这点对其他搜索引擎是一样的,如百度,bing等. 我 ...
对比勒索病毒和熊猫烧香，谈如何保证服务器端数据安全?
勒索病毒中毒后画面熊猫烧香中毒画面传播方式比较: 和大部分病毒木马一样,都是先想方设法进入局域网,以前常见的方式是通过邮件或网页方式.病毒文件等传统传播方式传播进局域网,这次多了一个通过文件共享端 ...
《云周刊》第122期：勒索病毒防护全攻略，不再让服务器裸奔
摘要: 5月12号WCry2.0勒索软件蠕虫大面积爆发,漏洞主要利用4月14号NSA泄露的武器库中的微软0day,进行大面积感染和传播.由于采用了RSA和AES加密算法,影响巨大.本期云周刊解读勒索软 ...
彻底分析ARP病毒查杀防范全攻略
彻底分析ARP病毒查杀防范全攻略近期在全国范围内大规模爆发arp病毒及其各种变种.如果局域网中发现许多台电脑中毒,电脑中毒后会向同网段内所有计 ...

主机防病毒攻略之勒索病毒

主机防病毒攻略之勒索病毒相关推荐

最新文章

热门文章