勒索病毒防范措施
發(fā)布日期:2021-06-11 瀏覽次數(shù):6563 發(fā)布者:
“勒索病毒風靡全球,病毒肆虐,讓企業(yè)和單位,包括個人蒙受損失,讓大家聞風色變,俗話說:“兵來將擋水來土掩”,病毒雖然猖獗,但是大家平時做好安全防護措施,增加安全意識,不要輕易打開陌生的郵件,包括廣告內(nèi)容,及時更新系統(tǒng)和打系統(tǒng)漏洞補丁,還有使用移動存儲設(shè)備的時候,要升級病毒庫,查殺U盤。在使用移動存儲設(shè)備,先查殺,后使用原則,做好以下措施,感染勒索病毒或者其他變異病毒,概率會大大降低。大家養(yǎng)成良好的操作習慣。以下是防范勒索病毒措施;Windows客戶端和服務(wù)器端同樣適用。”
一、病毒定義:
勒索病毒,是一種新型電腦病毒,主要以郵件、程序木馬、網(wǎng)頁掛馬的形式進行傳播。該病毒性質(zhì)惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。
2017年12月13日,“勒索病毒”入選國家語言資源監(jiān)測與研究中心發(fā)布的“2017年度中國媒體十大新詞語”。
從2018年初到9月中旬,勒索病毒總計對超過200萬臺終端發(fā)起過攻擊,攻擊次數(shù)高達1700萬余次,且整體呈上升趨勢。
二、傳播途徑:
勒索病毒文件一旦進入本地,就會自動運行,同時刪除勒索軟件樣本,以躲避查殺和分析。接下來,勒索病毒利用本地的互聯(lián)網(wǎng)訪問權(quán)限連接至黑客的C&C服務(wù)器,進而上傳本機信息并下載加密私鑰與公鑰,利用私鑰和公鑰對文件進行加密。除了病毒開發(fā)者本人,其他人是幾乎不可能解密。加密完成后,還會修改壁紙,在桌面等明顯位置生成勒索提示文件,指導用戶去繳納贖金。且變種類型非常快,對常規(guī)的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主,對常規(guī)依靠特征檢測的安全產(chǎn)品是一個極大的挑戰(zhàn)。
通過漏洞發(fā)起的攻擊占攻擊總數(shù)的87.7%。由于win7、xp等老舊系統(tǒng)存在大量無法及時修復(fù)的漏洞,而政府、企業(yè)、學校、醫(yī)院等局域網(wǎng)機構(gòu)用戶使用較多的恰恰是win7、xp等老舊系統(tǒng),因此也成為病毒攻擊的重災(zāi)區(qū),病毒可以通過漏洞在局域網(wǎng)中無限傳播。相反,win10系統(tǒng)因為強制更新,幾乎不受漏洞攻擊的影響。
通過郵件與廣告推廣的攻擊分別為7.4%、3.9%。雖然這兩類傳播方式占比較少,但對于有收發(fā)郵件、網(wǎng)頁瀏覽需求的企業(yè)而言,依舊會受到威脅。
此外,對于某些特別依賴U盤、記錄儀辦公的局域網(wǎng)機構(gòu)用戶來說,外設(shè)則成為勒索病毒攻擊的特殊途徑。
三、攻擊對象:
勒索病毒一般分兩種攻擊對象,一部分針對企業(yè)用戶(如xtbl,wallet),一部分針對所有用戶。
四、病毒規(guī)律:
該類型病毒的目標性強,主要以郵件為傳播方式。
勒索病毒文件一旦被用戶點擊打開,會利用連接至黑客的C&C服務(wù)器,進而上傳本機信息并下載加密公鑰和私鑰。然后,將加密公鑰私鑰寫入到注冊表中,遍歷本地所有磁盤中的Office 文檔、圖片等文件,對這些文件進行格式篡改和加密;加密完成后,還會在桌面等明顯位置生成勒索提示文件,指導用戶去繳納贖金。
該類型病毒可以導致重要文件無法讀取,關(guān)鍵數(shù)據(jù)被損壞,給用戶的正常工作帶來了極為嚴重的影響。
五、病毒分析
一般勒索病毒,運行流程復(fù)雜,且針對關(guān)鍵數(shù)據(jù)以加密函數(shù)的方式進行隱藏。以下為APT沙箱分析到樣本載體的關(guān)鍵行為。
1、調(diào)用加密算法庫。
2、通過腳本文件進行Http請求。
3、通過腳本文件下載文件。
4、讀取遠程服務(wù)器文件。
5、通過wscript執(zhí)行文件。
6、收集計算機信息。
7、遍歷文件。
六、病毒防御
1:關(guān)閉服務(wù)進程(杜絕445端口)
開始菜單-》控制面板-》管理工具-》服務(wù)-》Server,點擊禁止,然后啟動類型選擇禁用。
2:注冊表關(guān)閉勒索病毒服務(wù)
開始菜單-》運行-》REGEDIT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters新建DWORD鍵值,數(shù)值數(shù)據(jù)填寫為0,基數(shù)選擇十六進制,確定即可。
3:開啟防火墻,防微杜漸過濾危險端口
開始菜單-》控制面板-》管理工具-》高級安全Windows Defender防火墻-》入站規(guī)則-》-》新建規(guī)則-》端口-》TCP-》特定本地端口-》阻止連接-》(域和專用還有公用)-》下一步-》名稱和描述(比如135 & 135端口過濾阻止),其他端口過濾同上方法。
4:組策略安全設(shè)置ip安全策略
開始菜單-》運行-》gpedit.msc,打開本地組策略編輯器。依次展開“計算機配置---windows設(shè)置---安全設(shè)置---ip安全策略,在本地計算機”
以關(guān)閉139端口為例(其他端口操作相同):
在本地組策略編輯器右邊空白處 右鍵單擊鼠標,選擇“創(chuàng)建IP安全策略”,彈出IP安全策略向?qū)υ捒?,單擊下一步;在出現(xiàn)的對話框中的名稱處寫“關(guān)閉端口”(可隨意填寫),點擊下一步;對話框中的“激活默認響應(yīng)規(guī)則”選項不要勾選,然后單擊下一步;勾選“編輯屬性”,單擊完成。在出現(xiàn)的“關(guān)閉端口 屬性”對話框中,選擇“規(guī)則”選項卡,去掉“使用添加向?qū)А鼻斑叺墓春?,單擊“添加”按鈕。在出現(xiàn)的“關(guān)閉端口 屬性”對話框中,選擇“規(guī)則”選項卡,去掉“使用 添加向?qū)А鼻斑叺墓春螅瑔螕簟疤砑印卑粹o。出現(xiàn)添加對話框,名稱出填“封端口”(可隨意填寫),去掉“使用添加向?qū)А鼻斑叺墓春?,單擊右邊的“添加”按鈕. 在出現(xiàn)的“IP篩選器屬性”對話框中,選擇“地址”選項卡,“源地址”選擇“任何”,“目標地址”選擇“我的IP地址”;
選擇“協(xié)議”選項卡,各項設(shè)置如圖片中所示。設(shè)置好后點擊“確定”。 返回到“ip篩選器列表”,點擊“確定”。返回到“新規(guī)則 屬性”對話框
在ip篩選器列表中選擇剛才添加的“封端口”,然后選擇“篩選器操作”選項卡,,去掉“使用 添加向?qū)А鼻懊娴墓矗瑔螕簟疤砑印卑粹o
在“篩選器操作 屬性”中,選擇“安全方法”選項卡,選擇“阻止”選項;在“常規(guī)”選項卡中,對該操作命名,點確定.
選中剛才新建的“新建1”,單擊關(guān)閉,返回到“關(guān)閉端口屬性“對話框,確認“IP安全規(guī)則”中 封端口 規(guī)則被選中后,單擊 確定。
在組策略編輯器中,可以看到剛才新建的“關(guān)閉端口”規(guī)則,選中它并單擊鼠標右鍵,選擇“分配”選項,使該規(guī)則開始應(yīng)用!
到此,大功告成,同樣的方法你可以添加對任何你想限制訪問的端口的規(guī)則。
“綜上所述:增加個人網(wǎng)絡(luò)安全意識,養(yǎng)成良好的上網(wǎng)習慣和日常操作習慣,安裝殺毒軟件和防火墻,升級病毒庫,定期全盤殺毒,及時打系統(tǒng)漏洞補丁。定時做好數(shù)據(jù)備份,把重要數(shù)據(jù)加密轉(zhuǎn)移到安全的存儲介質(zhì)上,比如云盤和移動硬盤。不要安裝過多的應(yīng)用軟件,不要輕易打開陌生的電子郵件,不要點擊陌生人給你發(fā)送的鏈接地址,不要訪問不知名的網(wǎng)站,不要點擊廣告內(nèi)容,使用移動存儲設(shè)備,先查殺,后使用?!?/span>
本文轉(zhuǎn)載自:https://www.freebuf.com/column/195992.html
- 上一篇:中勒索病毒?一招教你如何避免“黑客”攻擊!
- 下一篇:心理點穴及針灸技術(shù)