近日,医院相续遭到了勒索病毒的攻击,医院的日常运作增添了麻烦,同时也造成了不良的社会响应。痛定思痛,本期就和大家聊下关于勒索病毒的若干问题,并提供相应的解决方法,所有企业客户可以以此建议为参考做好提前防御!
勒索病毒就是一种恶意软件,在设备上运行就会加密或销毁相应的计算机文件,造成企业以及个人的业务损失。
一般的传播途径为:
1、通过社交网络或是电子邮件的附件形式发送给受害者,诱使其点击运行从而造成破坏。
2、通过系统的安全漏洞或者通过系统弱密码暴力破解,控制系统的操作权限从而实施破坏;
为了让大家了解勒索病毒的威胁及工作原理,汉武安全实验室搭建了一套环境重现病毒的整个加密及感染过程。
一、通过下载pestudio对病毒文件进行分析,在virustotal模块中可以知道这个文件是否已经被主流杀毒软件厂商标识了病毒特征从而判断是否是病毒文件。建议大家以后接受一些exe/bin等格式的文件不要直接运行,最好通过这个软件提前检测下。
二、在网上下载勒索病毒样本,改变其格式为exe文件双击运行,大家可以观察下我桌面的文件状态的变化。
(病毒样本)
感染前桌面文件正常显示
感染的文件
以.asasin格式显示
三、感染后,病毒会在桌面提供一个页面,用于告诉受害者如何提交赎金。一般赎金支付方式以tor洋葱网络访问暗网的链接(主要是为了实现网络匿名无法追溯)呈现,并以比特币支付。因为其实现的加密方式是基于RSA(公私钥)和AES(对称加密),私钥只有黑客拥有,理论上需要解密文件缴纳赎金是唯一解。最糟糕的是你缴纳了赎金,黑客也不一定为你解密。天下最痛苦的事情莫过于此!
如遇到此类情况,第一时间应急响应措施:
1、立即断开已经感染的主机系统的网络连接,防止进一步扩散;
2、采用数据恢复软件、磁盘硬件数据恢复服务进行数据恢复,尽可能挽回数据损失;
3、已经感染终端,根据终端被加密数据重要性决定处置方式,安装全新操作系统,并完善操作系统补丁、安装防病毒软件并通过检查确认无相关漏洞后再恢复网络连接。
那怎么做才能让自己避免陷入被动?既然事后于事无补,我们防御思路应该集中在事前和事中。以下是我们的一些安全建议:
数据备份。当然仅仅做好数据备份还不够,我们需要日常对备份的数据进行恢复演练。这样在遭到破坏的第一时间才能做出应急应对。
保持系统的更新。虽然在实际的生产过程中,更新系统的业务连续性验证会比较麻烦,但是为了做好安全,作为企业的IT管理人员还是应该积极的面对这些麻烦事。
避免弱密码利用。设置高强度的密码,并做好周期性的改密计划。
核心资产做好防护。核心就是做好隔离,有物理网络的隔离,也可以通过防火墙ACL进行端口级别的控制。
终端安全。为每个终端安装主流版本的杀毒软件,并保证病毒特征库的更新。
极为重要!!!加强内部员工的安全培训。譬如:邮件的附件、社交工具传输的执行文件不轻易点击。
针对此类事件,
帕拉迪建议提前做好预防方为上策!
帕拉迪推出的IAM系统就专门治理企业数据中心业务及主机的弱口令问题及核心权限访问控制问题;让网络中每个进出数据中心的行为都可管理、可控制、可追朔。
1.通过帕拉迪IAM-SMS运维审计模块对资产进行资产弱密码周期性的自动修改,防止弱密码的暴力破解。
2.通过帕拉迪IAM-SCM准入控制模块防止未授权IP访问重要资产的管理端口。
3.通过帕拉迪IAM-WEB安全模块为业务系统进行安全建模,防止黑客通过WEBSHELL网页木马上传此类勒索病毒进一步感染核心服务器。
汉武安全实验室
汉武安全实验室,成立于年1月。实验室专注于全球主流数据库安全漏洞和数据库安全攻防技术研究,为帕拉迪汉领信息各行业客户提供全方位的数据库应用安全服务。
长按识别
转载请注明:http://www.wangguoqiangq.com/sglbwh/7443.html
