什么是勒索病毒?

勒索病毒并不是某一个病毒,而是一类病毒的统称,主要以邮件、程序、木马、网页挂马的形式进行传播,利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。

已知最早的勒索软件出现于 1989 年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo,亦称“PC Cyborg木马”),其作者为 Joseph Popp。早期的勒索病毒主要通过钓鱼邮件,挂马,社交网络方式传播,使用转账等方式支付赎金,其攻击范畴和持续攻击能力相对有限,相对容易追查。2006 年出现的 Redplus 勒索木马(Trojan/Win32.Pluder),是国内首个勒索软件。2013下半年开始,是现代勒索病毒正式成型的时期。勒索病毒使用AES和RSA对特定文件类型进行加密,使破解几乎不可能。同时要求用户使用虚拟货币支付,以防其交易过程被跟踪。这个时期典型的勒索病毒有CryptoLocker,CTBLocker等。自2016年开始,WannaCry勒索蠕虫病毒大爆发,且目的不在于勒索钱财,而是制造影响全球的大规模破坏行动。

戏剧性的是,在此阶段,勒索病毒已呈现产业化、家族化持续运营状态。

自2018年开始,勒索木马技术日益成熟,已将攻击目标从最初的大面积撒网无差别攻击,转向精准攻击高价值目标。比如直接攻击医疗行业,企事业单位、政府机关服务器,包括制造业在内的传统企业面临着日益严峻的安全形势。

勒索病毒工作原理

勒索病毒文件一旦进入被攻击者本地,就会自动运行,同时删除勒病毒母体,以躲避查杀、分析和追踪(变异速度快,对常规的杀毒软件都具有免疫性)。接下来利用权限连接黑客的服务器,上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密(先使用 AES-128 加密算法把电脑上的重要文件加密,得到一个密钥;再使用 RSA-2048 的加密算法把这个密钥进行非对称加密。)。除了病毒开发者本人,其他人是几乎不可能解密。如果想使用计算机暴力破解,根据目前的计算能力,几十年都算不出来。如果能算出来,也仅仅是解开了一个文件。(当然,理论上来说,也可以尝试破解被 RSA-2048 算法加密的总密钥,至于破解所需要的时间,恐怕地球撑不到那个时候。)加密完成后,还会锁定屏幕,修改壁纸,在桌面等显眼的位置生成勒索提示文件,指导用户去缴纳赎金。

值得一提的是,有的勒索方式索要赎金是比特币,如果你不会交易流程,可能会遭到勒索者的二次嘲讽:自己上网查!( Ĭ ^ Ĭ )

以下为APT沙箱分析到勒索病毒样本载体的主要行为:

1、调用加密算法库;

2、通过脚本文件进行Http请求;

3、通过脚本文件下载文件;

4、读取远程服务器文件;

5、通过wscript执行文件;

6、收集计算机信息;

7、遍历文件。

该样本主要特点是通过自身的解密函数解密回连服务器地址,通过HTTP GET 请求访问加密数据,保存加密数据到TEMP目录,然后通过解密函数解密出数据保存为DLL,然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成密钥,进而实现对指定类型的文件进行加密,即无需联网下载密钥即可实现对文件加密。同时,在沙箱分析过程中发现了该样本大量的反调试行为,用于对抗调试器的分析,增加了调试和分析的难度。

如何防勒索病毒?

  1. 青铜段位

  2. 不要打开陌生人或来历不明的邮件,防勒索病毒通过邮件的攻击;

  3. 需要的软件从正规(官网)途径下载;

  4. 升级杀毒软件到最新版本,阻止已存在的病毒样本攻击;

  5. Win7、Win 8.1、Win 10用户,尽快安装微软MS17-010的官方补丁;

  6. 定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复;

  7. 定期进行安全培训,日常安全管理可参考“三不三要”(三不:不上钩、不打开、不点击。三要:要备份、要确认、要更新)思路。

  1. 钻石段位

1. 物理,网络隔离染毒机器;

2. 对于内网其他未中毒电脑,排查系统安全隐患:

a)系统和软件是否存在漏洞

b)是否开启了共享及风险服务或端口,如135、137、139、445、3389

c)只允许办公电脑,访问专门的文件服务器。使用FTP,替代文件夹共享。

d)检查机器ipc空连接及默认共享是否开启

e)检查是否使用了统一登录密码或者弱密码

3. 尽量不要点击office宏运行提示,避免来自office组件的病毒感染;

4. 尽量不要双击打开.js、.vbs等后缀名文件;

5. 事后处理

在无法直接获得安全专业人员支持的情况下,可考虑如下措施:

  1. 通过管家勒索病毒搜索引擎搜索,获取病毒相关信息。搜索引擎地址(https://guanjia.qq.com/pr/ls/#navi_0)

  2. 若支持解密,可直接点击下载工具对文件进行解密

  1. 王者段位

在如何防勒索病毒这个话题中,人们常规的防御思维综上所述。虽然没什么毛病,但怎么看都像是“坐以待毙”,被动挨打。不过也无可厚非,毕竟见招拆招是惯性思维。

正确的防勒索病毒手段,一定是以不变应万变。

举个栗子:

农场主养了一群羊,毛发油亮,膘肥体壮,卖相极好,农场主甚是欣慰。

有一天农场主发现少了几只羊,还发现了狼的踪迹,便明白了有狼偷羊。

农场主跟踪狼的踪迹,设置陷阱,日夜监督,身心俱疲,但还是没有捉到狼,羊的数量还在减少。

最后,农场主把茅草的羊圈换成了花岗岩羊圈,羊再也没少过,农场主也再也不用去寻找狼。

主机加固的概念便是如此。

所以如何防勒索病毒,主机加固的思路才是良策。

主机加固的核心要点:

  1. 系统加固

将调试好的系统锁定,变成可信系统。

在可信系统下,非法程序、脚本都无法运行。而且不会影响数据进出。

即使系统有漏洞,甚至管理员权限丢失,这个可信系统都是安全的。

  1. 程序加固

采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验,校验不通过

拒绝启动,并且可信程序无法被伪装。

  1. 文件加固

保护指定类型的文件不被篡改。

  1. 磁盘加密

创建安全沙盒,该沙盒对外隔离,对沙盒内的数据进行加密,确保数据只能在授权管理有效前提下,才能被解密。如果没有授权,即使管理员也无法拷贝使用这些数据,即使系统克隆也无效。

  1. 数据库加固

第一层:数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。

第二层:数据库端口访问可信过滤,只允许业务程序进行数据库端口通信连接,在连

接字符串的IP+端口+账号密码中,追加进程身份识别。

第三层:数据库连接SQL文进行智能过滤,防止关键数据被检索和访问,防止数据库

内数据被非法访问,防止数据库表单的危险操作行为。

很多问题换一种思维可能就迎刃而解。如何防勒索病毒,显然用主机加固的策略更佳。至于主机加固产品如何选型,各位仁者见仁智者见智吧。个人推荐MCK主机加固。这个产品所属公司在数据安全领域可是老前辈了,而且他们的另一个产品SDC沙盒在源代码安全领域是很能打的。

最后,涩情网站君莫入,陌生邮件小心读,美女果聊需当心,勒索病毒助你贫。

勒索病毒是什么?防勒索病毒我们该怎么做?相关推荐

  1. 勒索病毒是什么?如何防勒索病毒

    勒索病毒并不是某一个病毒,而是一类病毒的统称,主要以邮件.程序.木马.网页挂马的形式进行传播,利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解. 已知最早的勒索软件 ...

  2. 防勒索病毒的核心——主机加固

    如何防勒索病毒? (1)青铜段位 1)不要打开陌生人或来历不明的邮件,防勒索病毒通过邮件的攻击: 2)需要的软件从正规(官网)途径下载: 3)升级杀毒软件到最新版本,阻止已存在的病毒样本攻击: 4)W ...

  3. 如何进行服务器防勒索病毒系统是我们不得不考虑的问题了

    ​近期有很多朋友问我,私有服务器,云服务器,各种业务系统服务器得安全怎么做?刚好最近了解到MCK主机加固解决方案,特给大家分享一下,欢迎大家与我讨论. 目前现状 无论是中小企业还是大型企事业单位,均有 ...

  4. Commvault+XSKY 推出基于 Object Lock 的防勒索病毒联合方案

    从桶粒度到对象粒度 随着对象存储的普及,对象存储已经成为最流行的备份目的(backup target) 存储.XSKY星辰天合作为国内领先的对象存储厂商,Commvault 作为全球领先的数据保护厂商 ...

  5. 工控机防勒索病毒浅析

    勒索病毒并不是某一个病毒,而是一类病毒的统称,主要以邮件.程序.木马.网页挂马的形式进行传播,利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解. 已知最早的勒索软件 ...

  6. 防勒索病毒主机加固才是良策。

    勒索病毒工作原理 勒索病毒文件一旦进入被攻击者本地,就会自动运行,同时删除勒病毒母体,以躲避查杀.分析和追踪(变异速度快,对常规的杀毒软件都具有免疫性).接下来利用权限连接黑客的服务器,上传本机信息并 ...

  7. Veeam+XSKY 推出基于 Object Lock 的防勒索病毒联合方案

    近日,XSKY星辰天合的 XEOS 对象存储完成了与 Veeam 备份软件(v11a.v12(Beta).Kasten)的兼容性测试,旨在解决数据保护领域面临的海量数据安全问题,尤其是能够基于 Obj ...

  8. 计算机数据防泄露,防勒索病毒分案分析

    近年来,计算机以及互联网应用在中国得到普及和发展,已经深入到社会每个角落,政府,经济,军事,社会,文化和人们生活等各方面都越来越依赖于计算机和网络,电子政务,无纸办公.MIS.ERP.OA等系统也在企 ...

  9. 主机加固对服务器防勒索病毒有哪些好处

    ​ 近年来,计算机以及互联网应用在中国得到普及和发展,已经深入到社会每个角落,政府,经济,军事,社会,文化和人们生活等各方面都越来越依赖于计算机和网络,电子政务,无纸办公.MIS.ERP.OA等系统也 ...

  10. 科力锐勒索拦截系统:解决勒索病毒“勒索+窃取”双重威胁的特效药!

    科力锐勒索拦截系统,有效应对勒索病毒"勒索+窃取"双重威胁守护您的数据安全! 一.突发!某车企遭勒索病毒窃取威胁 12月20日,某汽车公司发布社区公告称其遭遇勒索病毒攻击,被黑客窃 ...

最新文章

  1. linux shell 脚本 查找文件,Linux Shell在目录下使用for循环结合if查找文件的巧用
  2. python编程人脸识别工具_几行代码带你实现人脸识别。Python 就是这么简单
  3. case when else 默认随机_SQL高级知识——CASE的用法
  4. 那些读博的女生,怎样通过“九九八十一关”?
  5. iOS7应用开发6:UINavigation, UITabbar控制器的多态性
  6. java怎么改变数组的名,java – Spring HATEOASHAL:在_embedded中更改数组名称
  7. dump的文件 查看pg_【PG备份恢复】pg_dump命令测试
  8. windows PC电脑必备3个实用软件
  9. 最新谷歌本地搜索api
  10. Maven开发笔记(三)—— Maven中dependencies和dependencyManagement
  11. python 螺旋_用Python生成气候温度螺旋
  12. python----XML
  13. 2016年总结:教师路的开启,爱情味的初尝 (下)
  14. 基于FBX SDK的FBX模型解析与加载 -(四)
  15. 电脑误删的文件怎么恢复?分享90%的人都会的这2招
  16. 2021年中国商品期货交易规模分析:交易量达71.71亿手,同比增长21.15%[图]
  17. 腾讯秀丽江山之长歌行服务器维护,37长歌行5月15日合服维护公告
  18. matlab怎么输入斜杠,如何实现Matlab的mldivide(又称反斜杠运算符“ \”)
  19. 全面发展还是术业专攻?这就是答案
  20. 20190726--茎叶图,stem-and-leaf display

热门文章

  1. as400 c语言程序,AS400上的C編程
  2. 毕业设计-医院药品出入库管理系统
  3. STC8PROG - Linux下的 STC8G STC8H 烧录工具
  4. 网分测花岗岩介电常数测试方案
  5. 常见的立体匹配算法介绍
  6. idea 下查看项目代码量、行数
  7. 计算机多媒体应用的技术手段,计算机多媒体技术的关键性技术
  8. 2020 中兴java面试笔试题 (含面试题解析)
  9. BP神经网络模型---第一篇(M-P模型)
  10. WindowsXP系统主题成Windows7风格windowsxp主题包