勒索病毒并不是某一个病毒,而是一类病毒的统称,主要以邮件、程序、木马、网页挂马的形式进行传播,利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。

已知最早的勒索软件出现于 1989 年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo,亦称“PC Cyborg木马”),其作者为 Joseph Popp。早期的勒索病毒主要通过钓鱼邮件,挂马,社交网络方式传播,使用转账等方式支付赎金,其攻击范畴和持续攻击能力相对有限,相对容易追查。2006 年出现的 Redplus 勒索木马(Trojan/Win32.Pluder),是国内首个勒索软件。2013下半年开始,是现代勒索病毒正式成型的时期。勒索病毒使用AES和RSA对特定文件类型进行加密,使破解几乎不可能。同时要求用户使用虚拟货币支付,以防其交易过程被跟踪。这个时期典型的勒索病毒有CryptoLocker,CTBLocker等。自2016年开始,WannaCry勒索蠕虫病毒大爆发,且目的不在于勒索钱财,而是制造影响全球的大规模破坏行动。

戏剧性的是,在此阶段,勒索病毒已呈现产业化、家族化持续运营状态。

自2018年开始,勒索木马技术日益成熟,已将攻击目标从最初的大面积撒网无差别攻击,转向精准攻击高价值目标。比如直接攻击医疗行业,企事业单位、政府机关服务器,包括制造业在内的传统企业面临着日益严峻的安全形势。

勒索病毒工作原理

勒索病毒文件一旦进入被攻击者本地,就会自动运行,同时删除勒病毒母体,以躲避查杀、分析和追踪(变异速度快,对常规的杀毒软件都具有免疫性)。接下来利用权限连接黑客的服务器,上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密(先使用 AES-128 加密算法把电脑上的重要文件加密,得到一个密钥;再使用 RSA-2048 的加密算法把这个密钥进行非对称加密。)。除了病毒开发者本人,其他人是几乎不可能解密。如果想使用计算机暴力破解,根据目前的计算能力,几十年都算不出来。如果能算出来,也仅仅是解开了一个文件。(当然,理论上来说,也可以尝试破解被 RSA-2048 算法加密的总密钥,至于破解所需要的时间,恐怕地球撑不到那个时候。)加密完成后,还会锁定屏幕,修改壁纸,在桌面等显眼的位置生成勒索提示文件,指导用户去缴纳赎金。

值得一提的是,有的勒索方式索要赎金是比特币,如果你不会交易流程,可能会遭到勒索者的二次嘲讽:自己上网查!( Ĭ ^ Ĭ )

以下为APT沙箱分析到勒索病毒样本载体的主要行为:

1、调用加密算法库;

2、通过脚本文件进行Http请求;

3、通过脚本文件下载文件;

4、读取远程服务器文件;

5、通过wscript执行文件;

6、收集计算机信息;

7、遍历文件。

该样本主要特点是通过自身的解密函数解密回连服务器地址,通过HTTP GET 请求访问加密数据,保存加密数据到TEMP目录,然后通过解密函数解密出数据保存为DLL,然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成密钥,进而实现对指定类型的文件进行加密,即无需联网下载密钥即可实现对文件加密。同时,在沙箱分析过程中发现了该样本大量的反调试行为,用于对抗调试器的分析,增加了调试和分析的难度。

如何防勒索病毒?

青铜段位

不要打开陌生人或来历不明的邮件,防勒索病毒通过邮件的攻击;

需要的软件从正规(官网)途径下载;

升级杀毒软件到最新版本,阻止已存在的病毒样本攻击;

Win7、Win 8.1、Win 10用户,尽快安装微软MS17-010的官方补丁;

定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复;

定期进行安全培训,日常安全管理可参考“三不三要”(三不:不上钩、不打开、不点击。三要:要备份、要确认、要更新)思路。

钻石段位

1. 物理,网络隔离染毒机器;

2. 对于内网其他未中毒电脑,排查系统安全隐患:

a)系统和软件是否存在漏洞

b)是否开启了共享及风险服务或端口,如135、137、139、445、3389

c)只允许办公电脑,访问专门的文件服务器。使用FTP,替代文件夹共享。

d)检查机器ipc空连接及默认共享是否开启

e)检查是否使用了统一登录密码或者弱密码

3. 尽量不要点击office宏运行提示,避免来自office组件的病毒感染;

4. 尽量不要双击打开.js、.vbs等后缀名文件;

5. 事后处理

在无法直接获得安全专业人员支持的情况下,可考虑如下措施:

通过管家勒索病毒搜索引擎搜索,获取病毒相关信息。搜索引擎地址(勒索病毒拦截|文件恢复_文档守护者保护文档安全 - 腾讯电脑管家

若支持解密,可直接点击下载工具对文件进行解密

王者段位

在如何防勒索病毒这个话题中,人们常规的防御思维综上所述。虽然没什么毛病,但怎么看都像是“坐以待毙”,被动挨打。不过也无可厚非,毕竟见招拆招是惯性思维。

正确的防勒索病毒手段,一定是以不变应万变。

举个栗子:

农场主养了一群羊,毛发油亮,膘肥体壮,卖相极好,农场主甚是欣慰。

有一天农场主发现少了几只羊,还发现了狼的踪迹,便明白了有狼偷羊。

农场主跟踪狼的踪迹,设置陷阱,日夜监督,身心俱疲,但还是没有捉到狼,羊的数量还在减少。

最后,农场主把茅草的羊圈换成了花岗岩羊圈,羊再也没少过,农场主也再也不用去寻找狼。

主机加固的概念便是如此。

所以如何防勒索病毒,主机加固的思路才是良策。

主机加固的核心要点:

系统加固

将调试好的系统锁定,变成可信系统。

在可信系统下,非法程序、脚本都无法运行。而且不会影响数据进出。

即使系统有漏洞,甚至管理员权限丢失,这个可信系统都是安全的。

程序加固

采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验,校验不通过

拒绝启动,并且可信程序无法被伪装。

文件加固

保护指定类型的文件不被篡改。

磁盘加密

创建安全沙盒,该沙盒对外隔离,对沙盒内的数据进行加密,确保数据只能在授权管理有效前提下,才能被解密。如果没有授权,即使管理员也无法拷贝使用这些数据,即使系统克隆也无效。

数据库加固

第一层:数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。

第二层:数据库端口访问可信过滤,只允许业务程序进行数据库端口通信连接,在连

接字符串的IP+端口+账号密码中,追加进程身份识别。

第三层:数据库连接SQL文进行智能过滤,防止关键数据被检索和访问,防止数据库

内数据被非法访问,防止数据库表单的危险操作行为。

很多问题换一种思维可能就迎刃而解。如何防勒索病毒,显然用主机加固的策略更佳。至于主机加固产品如何选型,各位仁者见仁智者见智吧。个人推荐MCK主机加固。这个产品所属公司在数据安全领域可是老前辈了,而且他们的另一个产品SDC沙盒在源代码安全领域是很能打的。

工控安全之勒索病毒篇相关推荐

  1. 工控安全工业网络病毒的防范与治理

    由于工控网络的相对封闭性,目前针对工控系统的攻击以APT(恶意软件为载体).病毒.木马.勒索软件等恶意程序为主.恶意程序通过自我复制.主动探测.自动传播等方式,可在工业网络内快速扩散,造成网络延迟.主 ...

  2. 工控安全之系统加固篇

    Ponemon研究所一份新报告强化了勒索软件攻击对病人的安全风险.22%的受访医疗机构在网络攻击后看到病人死亡率上升.该报告称,第三方风险对病人护理产生的不利影是响其中最大的痛点.网络攻击导致更多病人 ...

  3. 纵横网络靶场社区 工控

    纵横网络靶场社区 工控 S7COMM协议分析 病毒文件恢复 modbus MMS协议分析 工控安全取证 工业现场应急响应 S7COMM协议分析 某10段工控网络中,工业协议中存在异常数据.请通过流量中 ...

  4. 工控系统主动安全防御体系的构建

    目录 前言 一.工控安全事件 二.工控安全面临的主要风险 1.外围系统风险 2.过程控制风险 3.工控设备风险 三.工控系统主要使用的安全防御技术 1.传统安全防御技术 2.PKI数字证书技术 3.I ...

  5. JamesBin专属工控PLC博客导航

    hello大家好,我是你们的朋友JamesBin,这篇文章主要是为了给大家进行博客导航的,方便大家的查找,下面是博客的全部连接,当然博客还在持续更新中,我会把最新的博客放到本博客中,希望大家能够关注我 ...

  6. 工控网络安全产品---学习笔记

    工控网络安全产品 常见的工控安全产品分类 防护类产品 审计类产品 终端类产品 检测类产品 管理类产品 工业互联网态势感知(内网运维管理中心) 物联网态势感知(物联网在线监测系) 工控安全实验室 工控安 ...

  7. 工控安全下如何有效防勒索病毒措施分享

    ​工控安全现状 工业控制系统是支撑国民经济的重要设施,是工业领域的神经中枢.现在工业控制系统已经广泛应用于电力.通信.化工.交通.航天等工业领域,支撑起国计民生的关键基础设施. 随着传统的工业转型,数 ...

  8. [网络安全自学篇] 七十.WannaCry勒索病毒复现及分析(三)蠕虫传播机制分析及IDA和OD逆向

    这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了宏病毒相关知识,包括宏病毒基础原理.防御措施.自发邮件及APT28样本分 ...

  9. [网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗

    这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前面三篇文章详细分享了WannaCry勒索病毒,包括病毒复现.IDA和OD逆向分析 ...

  10. XGBoost线性回归工控数据分析实践案例(原生篇)

    1. 关于XGBoost XGBoost号称"比赛夺冠的必备大杀器",横扫机器学习Kaggle.天池.DataCastle.Kesci等国内外数据竞赛罕逢敌手,堪称机器学习算法中的 ...

最新文章

  1. 导入eclipse工程到Android Studio中
  2. Proxy 动态代理 InvocationHandler CGLIB MD
  3. WCF服务实现客户端Cookie共享,表单验证的解决方案
  4. android+notepad教程,Android Sample学习——NotePad
  5. kafka 不同分区文件存储_大白话 + 13 张图解 Kafka
  6. 窥探PTAM之Mapping线程
  7. SSL认证之相关证书的生成
  8. python-docx文档
  9. 苏宁易购正在“酝酿”下一场蝶变?
  10. SIM相关术语MCC MNC UIM SIM PIN PUK简介
  11. Python可视化和动画模拟物理
  12. 常见的无法上网故障原因和解决方法
  13. Navicat Premium 15 完全卸载
  14. 云计算与云原生 — Docker 容器技术完全解析
  15. OpenX系列标准介绍(5):OpenDRIVE和OpenSCENARIO的中文版本
  16. kindle电子书横竖屏切换方法
  17. NXP RT1021应用笔记
  18. 手机应用软件下载导航php源码_轻量级网址导航程序壹网分类目录v2.5源码免费下载...
  19. linux+字符串+补零,Linux之基本文本处理工具(一)
  20. 优秀的内部知识库对企业的重要性

热门文章

  1. bch码原理基于matlab,BCH码编译码matlab仿真
  2. log4j配置文件位置详解
  3. 常见API漏洞解释以及应用层解决方案
  4. 双目视觉立体匹配算法
  5. 【系统分析师之路】系分历年论文命题走向
  6. jrtplib linux编译,linux下jrtplib-3.9.1编译与安装.txt
  7. 学习网站及编程电子书下载网站
  8. 计算机函数说课ppt,幂函数说课课件
  9. 单片微型计算机原理及应用考试,单片机原理及应用《微机原理及应用》试卷(A卷)附答案...
  10. EJB开发web service