浅谈勒索病毒防护
免责声明
文章仅做经验分享用途,利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!!!
目录
免责声明
一,什么是勒索病毒
1.1勒索病毒定义
1.2如何判断遭受勒索病毒感染
1.3常见勒索病毒的种类
二,勒索病毒攻击流程及工具
2.2,攻击入侵阶段
2.3,病毒植入阶段
三,对勒索病毒应急响应步骤
3.1隔离
3.2取证
3.3专业人员排查
3.4加固
3.5恢复
3.6高级相应支持
4.1、摸清家底,心中有数
4.2、全面风险评估,整改要及时
4.3、开启实时监测,快速发现响应
5.1个人终端防御技术
5.2企业级终端防御技术
5.3个人需要遵守的防御守则
结语
我们敌人是什么呢?敌人使用的武器是什么呢?我们被攻击后要怎么办呢?我们怎么去防范敌人对我方攻击呢?我们又有什么武器呢?
本次我就来整合介绍一下我们在面对勒索病毒这个敌人时,我们要做到知己知彼百战百胜。
一,什么是勒索病毒
1.1勒索病毒定义
勒索病毒是一种黑客通过技术手段将受害者机器内的重要数据文件进行加密,最终迫使受害者向黑客缴纳文件解密赎金,黑客收到赎金后,进一步协助受害者恢复被加密数据,从而达到病毒非法牟利勒索钱财的目的,勒索病毒是近年来极为流行的病毒类型之一。
勒索病毒主要有以下几种类型:
A.使用加密算法对攻击机器内的文件进行加密(流行)
B.直接对磁盘分区进行加密(较少)
C.劫持操作系统引导区后禁止用户正常登录操作系统(较少)
1.2如何判断遭受勒索病毒感染
由于勒索病毒最终以勒索钱财为目的,与传统类型病毒获利模式有较大差异,当受害者遭受到勒索病毒攻击后会产生极为明显的受勒索特征。通过观察遭受勒索病毒攻击机器环境发现病毒造成的明显异常点,可进一步确诊自身当前是否遭受到勒索病毒攻击。
具体可通过以下几种方式来进行判断自己中毒类型是否为勒索病毒。
1)电脑桌面壁纸被篡改
勒索病毒攻击成功后,为了让受害者第一时间感知到被病毒入侵,部分情况下会修改用户当前电脑桌面壁纸,告知受害者当前已被病毒感染,需要加纳赎金行为,GandCrab勒索病毒感染后修改壁纸为黑色北京且有勒索提示信息。
2)有明显的勒索信息窗口展示
勒索病毒加密文件完成后,通常会在被加密文件所在目录下创建一个勒索提示说明文档。为了更加直观,勒索病毒加密文件完成后通常会自动打开该文档。该说明文档通常为txt或html文件类型,部分病毒也会直接使用病毒程序弹出窗口的形式来展示勒索信息。
3)文件后缀被修改且文件使用打开异常
勒索病毒通常为了标识文件是否被自身加密过,当对文件加密完成后,通常情况下会修改被加密文件的原始后缀,被修改后的文件后缀区别于常见文件类型,通过该后缀也可判断确诊是否遭受到了勒索病毒攻击,下图为图片文件被加密后添加了dlkjq后缀,此时该图片文件已无法正常打开使用。
1.3常见勒索病毒的种类
(1)LockBit:LockBit于 2019 年 9 月首次以 ABCD勒索软件的形式出现,2021年发布2.0版本,相比第一代,LockBit 2.0号称是世界上最快的加密软件,加密100GB的文件仅需4分半钟。经过多次改进成为当今最多产的勒索软件系列之一。LockBi使用勒索软件即服务 (RaaS)模型,并不断构思新方法以保持领先于竞争对手。它的双重勒索方法也给受害者增加了更大的压力(加密和窃取数据),据作者介绍和情报显示LockBi3.0版本已经诞生,并且成功地勒索了很多企业。
(2)Gandcrab/Sodinokibi/REvil:REvil勒索软件操作,又名Sodinokibi,是一家臭名昭著的勒索软件即服务 (RaaS) 运营商,可能位于独联体国家(假装不是老毛子)。它于 2019 年作为现已解散的 GandCrab 勒索软件的继任者出现,并且是暗网上最多产的勒索软件之一,其附属机构已将目标锁定全球数千家技术公司、托管服务提供商和零售商,一直保持着60家合作商的模式。(2021年暂停止运营,抓了一部分散播者)。
(3)Dharma/CrySiS/Phobos:Dharma勒索软件最早在 2016 年初被发现, 其传播方式主要为 RDP 暴力破解和钓鱼邮件,经研究发现 Phobos勒索软件、CrySiS勒索软件与 Dharma勒索软件有 许多相似之处,故怀疑这几款勒索软件的 作者可能是同一组织。
(4)Globelmposter(十二生肖):Globelmposter又名十二生肖,十二主神,十二.....他于2017年开始活跃,2019年前后开始对勒索程序进行了大的改版变更。攻击者具有一定的地域划分,比如国内最常见的一个攻击者邮箱为[email protected]
(5)WannaRen(已公开私钥):WannaRen勒索家族的攻击报道最早于2020年4月,通过下载站进行传播,最终在受害者主机上运行,并加密几乎所有文件;同时屏幕会显示带有勒索信息的窗口,要求受害者支付赎金,但WannaRen始终未获得其要求的赎金金额,并于几天后公开密钥。
(6)Conti:Conti勒索家族的攻击最早追踪到2019年,作为“勒索软件即服务(RaaS)”,其幕后运营团伙管理着恶意软件和Tor站点,然后通过招募合作伙伴执行网络漏洞和加密设备。在近期,因为分赃不均,合作伙伴多次反水,直接爆料攻击工具、教学视频、以及部分源代码。
(7)WannaCry:WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播,WannaCry的出现也为勒索病毒开启了新的篇章。
(8)其他家族:当然,勒索病毒的家族远远不止如此。
二,勒索病毒攻击流程及工具
黑客攻击也是有秘籍的,我来给大家介绍一下黑客攻击四步走:
2.1,探测侦察阶段
- 收集基础信息。攻击者通过主动扫描、网络钓鱼以及在暗网黑市购买等方式,收集攻击目标的网络信息、身份信息、主机信息、组织信息等,为实施针对性、定向化的勒索病毒攻击打下基础。
- 发现攻击入口。攻击者通过漏洞扫描、网络嗅探等方式,发现攻击目标网络和系统存在的安全隐患,形成网络攻击的突破口。此外,参照勒索病毒典型传播方式,攻击者同样可利用网站挂马、钓鱼邮件等方式传播勒索病毒。
2.2,攻击入侵阶段
(1)部署攻击资源。根据发现的远程桌面弱口令、在网信息系统漏洞等网络攻击突破口,部署相应的网络攻击资源,如MetaSploit、CobaltStrike、RDP Over Tor等网络攻击工具。
(2)获取访问权限。采用合适的网络攻击工具,通过软件供应链攻击、远程桌面入侵等方式,获取攻击目标网络和系统的访问权限,并通过使用特权账户、修改域策略设置等方式提升自身权限,攻击入侵组织内部网络。
2.3,病毒植入阶段
(1)植入勒索病毒。攻击者通过恶意脚本、动态链接库 DLL 等部署勒索病毒,并劫持系统执行流程、修改注册表、混淆文件信息等方式规避安全软件检测功能,确保勒索病毒成功植入并发挥作用。
(2)扩大感染范围。攻击者在已经入侵内部网络的情况下,通过实施内部鱼叉式网络钓鱼、利用文件共享协议等方式在攻击目标内部网络横向移动,或利用勒索病毒本身类蠕虫的功能,进一步扩大勒索病毒感染范围和攻击影响。
2.4,实施勒索阶段
- 加密窃取数据。攻击者通过运行勒索病毒,加密图像 、视频、音频、文本等文件以及关键系统文件、磁盘引导记录等,同时根据攻击目标类型,回传发现的敏感、重要的文件和数据,便于对攻击目标进行勒索。
- 加载勒索信息。攻击者通过加载勒索信息,胁迫攻击目标支付勒索赎金。通常勒索信息包括通过暗网论坛与攻击者的联系方式、以加密货币支付赎金的钱包地址、支付赎金获取解密工具的方式等。
三,对勒索病毒应急响应步骤
3.1隔离
(1) 物理隔离
断网,拔掉网线或禁用网卡,笔记本也要禁用无线网络。
- 逻辑隔离
访问控制、关闭端口、修改密码。访问控制可以由防火墙等设备来设置,禁止已感染主机与其他主机相互访问;视情况关闭 135、139、445、3389 等端口,避免漏洞被或 RDP ( 远 程 桌 面 服 务 ) 被 利 用;尽快修改被感染主机与同一局域网内的其他主机的密码,尤其是管理员(Windows下的Administrator,Linux 下的 root)密码,密码长度不少于 8 个字符,至少包含以下四类字符中的三类:大小写字母、数字、特殊符号,不能是人名、计算机名、用户名等。
3.2取证
(1)入侵时间
通过文件修改时间、恶意程序落地时间、安全设备告警时间、系统日志等可以获得勒索者入侵时间。
(2)入侵范围/勒索的范围
通过网络结构及被害机器确定入侵范围,其中分为已经获取全部权限并全部加密的机器有多少。通过内网扫描加密其他设备开启的文件共享系统加密有多少。未能加密被杀毒软件清理掉的或者未及时加密的有多少。
(3)确定攻击范围及手法
通过网络拓扑、是否有域、有哪些对外服务及应用以及有哪些安全设备,如全流量/终端杀毒/防火墙/IDS/IPS日志分析系统来快速确认攻击手法、攻击路径、攻击手段等。常见的勒索病毒大部分是使用RDP爆破作为攻击方式进行突破互联网边界,在勒索病毒取证排查中可以作为第一优先级,比如哪些机器对外开放了RDP远程登录,是否为弱口令,安全设备日志系统是否记录RDP爆破或者异地登陆行为。
(4)常见攻击手法及流程
首先通过RDP爆破、钓鱼、漏洞、软件捆绑等等方式突破边界,使用弱口令、漏洞、密码读取、网络嗅探等方式横移,使用系统远程、远程工具、远控进行投递,部分勒索家族会使用Rclone等工具进行窃密。当然还会使用一些手段进行对抗杀软或者EDR,这里就不过多介绍了。
(5)窃密排查
根据不同的家族可以作为是否被窃密,如LockBit家族通常就使用勒索加窃密双重威胁手段,当然也可以关注暗网地下交易论坛来确定数据是否泄漏。
3.3专业人员排查
1.了解现状
第一时间了解目前什么情况:
文件被加密?
设备无法正常启动?
勒索信息展示?
桌面有新的文本文件并记录加密信息及解密联系方式?
- 了解中毒时间
文件加密时间?
设备无法正常启动的时间?
新的文本文件的出现时间?
了解事件发生时间,后面以此时间点做排查重点;
3.了解系统架构
4.确认感染机器
5.感染文件特征和感染时间
1、操作系统桌面是否有新的文本文件,文本文件中是否有详细的加密信息及解密联系方式;
2、被加密的文件类型;
3、加密后的文件后缀;
6.被加密的文件类型
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
7.加密后的文件后缀
.WNCRYT,.lock,.pre_alpha,.aes,.aes_ni,.xdata,.aes_ni_0day, .pr0tect,.[[email protected]].java,文件后缀无变化;
8.确认感染时间
Linux系统:
执行命令stat[空格]文件名,包括三个时间access time(访问时间)、modify time(内容修改时间)、change time(属性改变时间),如:
例:stat /etc/passwd
Windows系统:
例:右键查看文件属性,查看文件时间
9.处理方式
未被感染主机:
关闭SSH、RDP等协议,并且更改主机密码;
备份系统重要数据、且文件备份应与主机隔离;
禁止接入U盘、移动硬盘等可执行摆渡攻击的设备;
被感染主机:
立即对被感染主机进行隔离处置,禁用所有有线及无线网卡或直接拔掉网线
防止病毒感染其他主机;
禁止在被感染主机上使用U盘、移动硬盘等可执行摆渡攻击的设备;
无法定位到文件?
木马执行完毕后自删除
采用傀儡进程技术,恶意代码只在内存展开执行
高级Rootkit或Bootkit级木马,强对抗性,三环工具无法探测
解决方式
收集系统事件日志,保持系统环境,请求后端技术支持
3.4加固
主机感染病毒一般都是由未修复的系统漏洞、未修复的应用漏洞或者弱口令导致,所以在已知局域网内已有主机感染并将之隔离后,应检测其他主机是否有上述的问题存在。
(1) 系统漏洞可以使用免费的安全软件检测并打补丁。
(2) 应用漏洞可以使用免费的漏扫产品(AWVS、APPScan 等)检测并升级或采用其他方式修复。
(3) 弱口令应立即修改,密码长度不少于 8 个字符,至少包含以下四类字符中的三类:大小写字母、数字、特殊符号,不能是人名、计算机名、用户名等。
3.5恢复
(1)数据恢复
数据恢复的方式大概分为如下几种:
1)通过备份来恢复数据,这是最简单有效低成本的方式,当然在日常处置勒索事件中,要么是没有备份,要么是备份也没加密了,当然关于备份这个详细方案日后再说。
2)通过缴赎金来拿回密钥解密,而往往缴赎金需要虚拟货币,而且联系语言多数为非中文且需要提前支付,能不能拿回密钥就看勒索者的信誉度。
3)通过第三方机构进行解密,第三方机构基本分为2种,一种是可以恢复数据库文件,因为数据库文件较大,勒索一般不会全加密,基于数据库的恢复机制进行恢复,而普通文件则无法恢复,另一种是第三方机构找勒索者购买密钥进行恢复。
4)找到勒索病毒设计漏洞,通过漏洞拿回加密密钥。
5)等待勒索发布解密密钥,这种几率很小很小。
(2)网络恢复
如果遭受勒索病毒的机器为单台且不是复杂网络环境,那么可以重装系统,安装预防勒索病毒守则进行防御。如果多台机器被勒索,且网络环境复杂,建议寻找专业人员按照应急流程进行恢复,不要盲目恢复,因为勒索者如果没拿到钱那么盲目恢复可能再次勒索,如果拿到钱了盲目恢复可能未找到问题源头会被二次勒索。
3.6高级相应支持
基础措施可以一定程度上响应勒索事件,但当病毒情况严重、感染主机较多或面对未知类型勒索变种,基础措施的效果就十分有限。当有数百台甚至更多主机的场景感染勒索病毒,是无法逐一去采取基础响应措施,需要借助专业的安全产品进行监测、防护和专业的安全团队的技术支持。
1 监测:APT警平台
安恒信息 APT 产品,对网络中传输的已知和未知恶意文件样本结合病毒引擎、静态分析和动态分析,对勒索病毒及其变种传播及时告警,对传播类型、传播途径、恶意代码传播、回连域名、漏洞利用等行为进行深度解析,准确定位感染源和感染主机。通过 APT 内置沙箱虚拟执行环境,对流量中勒索病毒动态行为分析,捕获其动态行为、网络行为、进程行为、文件行为、注册表行为等关键信息,识别其中可疑的勒索病毒特点,快速对网络中传输的勒索病毒样本进行预警。通过 APT 云端情报共享,依托于云端海量数据、高级的机器学习和大数据分析能力,及时共享最新的安全威胁情报,发现已知和未知威胁恶意样本传播行为,对勒索病毒更精确的定位分析。
2 查杀与防护:EDR主机安全及管理系统
安恒主机卫士 EDR 通过“平台+端”分布式部署,“进程阻断+诱饵引擎”双引擎防御已知及未知类型勒索病毒。部署监控端后,通过平台统一下发安全策略。具备诱饵捕获引擎、内核级流量隔离等行业领先技术。对于 已知勒索病毒,通过“进程启动防护引擎”零误报零漏报查杀;对于 未知勒索病毒,采用“专利级诱饵引擎”进行捕获,阻断其加密行为;通过内核级的流量隔离技术,自动阻止勒索病毒在内网扩散或者接收远程控制端指令。
3 技术支持:安恒信息安全服务
(1) 勒索病毒应急响应服务
在勒索病毒已经加密系统文件后,既要遵循常规的应急响应实施过程也要针对勒索病毒的特点进行相对应的处理工作。在高级响应措施中,安恒信息安全服务将基于第一现场收集到的各类应急处置信息,例如病毒感染文件的最初时间,结合操作系统日志、业务系统日志、网络设备日志等设备日志综合判断和构建这一时段信息系统各组件所执行的操作,并通过内存取证,硬盘镜像等电子证物取证技术手段开展恶意样本取证分析操作,从以上应急响应业务操作中构建事件发展的时间线、证据链从而推测判断事件发生的准确原因以及病毒传播的源头,并进一步根据所发现的各类电子证物追踪背后攻击者,在各项应急处置过程进展顺利的情况下找出源头设备以及对应的攻击者。在完成现场取证操作后,将对事件情况出具专业完整的应急响应报告,专业的应急响应报告不但需要对事件的描述和判断,也会针对此类勒索病毒事件给出专业的安全加固建议以及常用的应急处置办法,从而在本次应急处置过后不会在完成系统恢复之后再次被感染,从而造成更严重的影响。
(2) 开展应急响应的常规操作过程
| 过程 |
主要内容 |
| 初步信息收集 |
|
| 上机操作 l l l |
|
| 溯源操作 |
|
| 其他情况的处理 l |
|
- 让安全工作贯彻日常
4.1、摸清家底,心中有数
一份完整的、详细的资产清单是安全工作的起点,也是后续安全运营工作能够顺利开展的关键要素。借助安全工具对资产进行发现和识别,梳理的信息包含操作系统、数据库、中间件、应用系统的版本,类型,IP地址;应用开放协议和端口;应用系统管理方式、资产的重要性以及网络拓扑等等。
4.2、全面风险评估,整改要及时
根据前期资产摸排阶段形成关联资产清单、未知资产清单,对单位的网络设备、服务器、中间件、数据库、应用系统、安全设备等开展全面的风险评估检测和整改。
- 网络架构评估
针对单位网络环境开展网络架构评估工作,以评估单位网络环境在网络架构方面的合理性,网络安全防护方面的健壮性,是否已具备有效的防护措施;输出《网络架构评估报告》
- 网络安全策略检查
针对单位网络环境中的网络设备、安全设备进行策略检查,确保目前已有策略均按照“按需开放,最小开放”的原则进行开放;确保网络安全设备中无多余、过期的网络策略;输出《网络安全策略核查报告》
- 网络安全基线检查
针对单位网络环境中的主机操作系统、数据库、中间件的进行安全基线检查,重点检查多余服务、多余账号、口令策略,是否存在默认口令和弱口令、文件系统权限、访问控制等配置情况;输出《网络安全基线核查报告》
- 漏洞扫描检测
针对单位中的服务器、运维终端、主机、数据库以及中间件进行安全漏洞扫描;输出《安全漏洞检测报告》
- 应用系统渗透测试
针对单位的系统应用进行渗透测试;输出《应用系统渗透测试报告》基于以上风险评估检查发现的问题和隐患,及时进行安全加固、策略配置优化和改进,单位系统的自身防护能力和安全措施的效能,减少安全隐患,降低可能被外部攻击利用的脆弱性和风险。
4.3、开启实时监测,快速发现响应
开展安全事件实时监测工作,可借助安全防护设备(全流量分析设备、Web防火墙、IDS、IPS、数据库审计等)开展攻击安全事件实时监测,对发现的攻击行为进行研判确认,详细记录攻击相关数据,为后续应急响应处置工作开展提供信息。
- 日后防护和守则
5.1个人终端防御技术
(一)文档自动备份隔离保护
文档自动备份隔离技术是360独创的一种勒索软件防护技术。这一技术在未来一两年内可能会成为安全软件反勒索技术的标配。
鉴于勒索软件一旦攻击成功往往难以修复,而且具有变种多,更新快,大量采用免杀技术等特点,因此,单纯防范勒索软件感染并不是“万全之策”。但是,无论勒索软件采用何种具体技术,无论是哪一家族的哪一变种,一个基本的共同特点就是会对文档进行篡改。而文档篡改行为具有很多明显的技术特征,通过监测系统中是否存在文档篡改行为,并对可能被篡改的文档加以必要的保护,就可以在相当程度上帮助用户挽回勒索软件攻击的损失。
文档自动备份隔离技术就是在这一技术思想的具体实现,360将其应用于360文档卫士功能模块当中。只要电脑里的文档出现被篡改的情况,它会第一时间把文档自动备份在隔离区保护起来,用户可以随时恢复文件。无论病毒如何变化,只要它有篡改用户文档的行为,就会触发文档自动备份隔离,从而使用户可以免遭勒索,不用支付赎金也能恢复文件。
360文档卫士的自动备份触发条件主要包括亮点:一、开机后第一次修改文档;二、有可疑程序篡改文档。当出现上述两种情况时,文档卫士会默认备份包括Word、Excel、PowerPoint、PDF等格式在内的文件,并在备份成功后出现提示信息。用户还可以在设置中选择添加更多需要备份的文件格式。比如电脑里的照片非常重要,就可以把jpg等图片格式加入保护范围。
此外,360文档卫士还集合了“文件解密”功能,360安全专家通过对一些勒索软件家族进行逆向分析,成功实现了多种类型的文件解密,如2017年出现的“纵情文件修复敲诈者病毒”等。如有网友电脑已不慎中招,可以尝试通过“文档解密”一键扫描并恢复被病毒加密的文件。
(二)综合性反勒索软件技术
与一般的病毒和木马相比,勒索软件的代码特征和攻击行为都有很大的不同。采用任何单一防范技术都是不可靠的。综合运用各种新型安全技术来防范勒索软件攻击,已经成为一种主流的技术趋势。
下面就以360安全卫士的相关创新功能来分析综合性反勒索软件技术。相关技术主要包括:智能诱捕、行为追踪、智能文件格式分析、数据流分析等,具体如下。
智能诱捕技术是捕获勒索软件的利器,其具体方法是:防护软件在电脑系统的各处设置陷阱文件;当有病毒试图加密文件时,就会首先命中设置的陷阱,从而暴露其攻击行为。这样,安全软件就可以快速无损的发现各类试图加密或破坏文件的恶意程序。
行为追踪技术是云安全与大数据综合运用的一种安全技术。基于360的云安全主动防御体系,通过对程序行为的多维度智能分析,安全软件可以对可疑的文件操作进行备份或内容检测,一旦发现恶意修改则立即阻断并恢复文件内容。该技术主要用于拦截各类文件加密和破坏性攻击,能够主动防御最新出现的勒索病毒。
智能文件格式分析技术是一种防护加速技术,目的是尽可能的降低反勒索功能对用户体验的影响。实际上,几乎所有的反勒索技术都会或多或少的增加安全软件和电脑系统的负担,相关技术能否实用的关键就在于如何尽可能的降低其对系统性能的影响,提升用户体验。360研发的智能文件格式分析技术,可以快速识别数十种常用文档格式,精准识别对文件内容的破坏性操作,而基本不会影响正常文件操作,在确保数据安全的同时又不影响用户体验。
数据流分析技术,是一种将人工智能技术与安全防护技术相结合的新型文档安全保护技术。首先,基于机器学习的方法,我们可以在电脑内部的数据流层面,分析出勒索软件对文档的读写操作与正常使用文档情况下的读写操作的区别;而这些区别可以用于识别勒索软件攻击行为;从而可以在“第一现场”捕获和过滤勒索软件,避免勒索软件的读写操作实际作用于相关文档,从而实现文档的有效保护。
5.2企业级终端防御技术
(一)云端免疫技术
在国内,甚至全球范围内的政企机构中,系统未打补丁或补丁更新不及时的情况都普遍存在。这并非是简单的安全意识问题,而是多种客观因素限制了政企机构对系统设备的补丁管理。因此,对无补丁系统,或补丁更新较慢的系统的安全防护需求,就成为一种“强需求”。而云端免疫技术,就是解决此类问题的有效方法之一。这种技术已经被应用于360的终端安全解决方案之中。
所谓云端免疫,实际上就是通过终端安全管理系统,由云端直接下发免疫策略或补丁,帮助用户电脑做防护或打补丁;对于无法打补丁的电脑终端,免疫工具下发的免疫策略本身也具有较强的定向防护能力,可以阻止特定病毒的入侵;除此之外,云端还可以直接升级本地的免疫库或免疫工具,保护用户的电脑安全。
需要说明的事,云端免疫技术只是一种折中的解决方案,并不是万能的或一劳永逸的,未打补丁系统的安全性仍然比打了补丁的系统的安全性有一定差距。但就当前国内众多政企机构的实际网络环境而诺言,云端免疫不失为一种有效的解决方案。
(二)密码保护技术
针对中小企业网络服务器的攻击,是2017年勒索软件攻击的一大特点。而攻击者之所以能够渗透进入企业服务器,绝大多数情况都是因为管理员设置的管理密码为弱密码或帐号密码被盗。因此,加强登陆密码的安全管理,也是一种必要的反勒索技术。
具体来看,加强密码保住主要应从三个方面入手:一是采用弱密码检验技术,强制网络管理员使用复杂密码;二是采用反暴力破解技术,对于陌生IP的登陆位置和登陆次数进行严格控制;三是采用VPN或双因子认证技术,从而使攻击者即便盗取了管理员帐号和密码,也无法轻易的登陆企业服务器。
5.3个人需要遵守的防御守则
(1)不要对外开放危险端口,如RDP远程,如果需要对外开放建议开启白名单模式和随机12位以上字母加数字加符号密码。
(2)多台机器,不要使用相同的账号和口令
(3)登录口令要有足够的长度和复杂性,并定期更换登录口令
(4)重要资料的共享文件夹应设置访问权限控制,并进行定期冷备份
(5)Windows系统日志是否存在异常
(6)杀毒软件是否存在异常拦截情况
(7)安装安全防护软件,并确保其正常运行。
(8)永远不要单击不安全的链接:避免单击垃圾邮件或者未知网站上的链接。单击恶意链接可能会启动自动下载,会导致计算机感染。
(9)避免透露个人信息:如果收到不信任来源的电话、短信或者电子邮件,要求您提供个人信息,不要回复。正在计划进行勒索软件攻击的网络犯罪分子可能会尝试提前收集个人信息,然后用这些信息制作专门针对您的钓鱼消息。如果对于消息是否合法有任何疑问,请直接联系发送者。
(10)不要打开可疑的电子邮件附件:勒索软件也可以通过电子邮件附件到您的设备。避免打开任何看起来可疑的附件。为了确保电子邮件可信,请注意发件人并检查地址是否正确。永远不要打开提醒您运行宏指令进行查看的附件。如果附件被感染,打开它将会运行恶意宏指令,让恶意软件控制您的计算机。永远不要使用未知U盘:永远不要把不知道来源的U盘或者其它存储媒体连接到您的计算机。网络犯罪分子可能感染了存储媒体,然后把它放在公众地方引诱人使用它。
(11)保持您的程序和操作系统最新:定期更新程序和操作系统有助于您防御恶意软件。执行更新时,请确保获得最新安全补丁的益处。这会让网络犯罪分子更难利用您的程序中的漏洞。
(12)只使用已知的下载来源:为了最小化下载勒索软件的风险,永远不要从未知站点下载软件或者媒体文件。从经过验证的和信任网站进行下载。这种网站可以通过信任印章进行识别。请确保您正在使用的页面的浏览器地址栏用的是 "https" 而不是 "http"。地址栏中如果有一个盾牌或者锁头符号,也可以表明页面安全。下载任何东西到移动设备时也请注意。
(13)在公共 Wi-Fi 网络上使用 VPN 服务:谨慎使用公共 Wi-Fi 网络是防御勒索软件的明智保护措施。使用公共 Wi-Fi 网络时,您的计算机更容易受到攻击。为了受到保护,请避免使用公共 Wi-Fi 进行敏感交易,或者使用安全的 VPN 服务。
结语
没有人规定,一朵花一定要成长为向日葵或者玫瑰。