發(fā)布日期:2021-06-11 瀏覽次數(shù):6840
“勒索病毒風(fēng)靡全球,病毒肆虐,讓企業(yè)和單位,包括個(gè)人蒙受損失,讓大家聞風(fēng)色變,俗話(huà)說(shuō):“兵來(lái)將擋水來(lái)土掩”,病毒雖然猖獗,但是大家平時(shí)做好安全防護(hù)措施,增加安全意識(shí),不要輕易打開(kāi)陌生的郵件,包括廣告內(nèi)容,及時(shí)更新系統(tǒng)和打系統(tǒng)漏洞補(bǔ)丁,還有使用移動(dòng)存儲(chǔ)設(shè)備的時(shí)候,要升級(jí)病毒庫(kù),查殺U盤(pán)。在使用移動(dòng)存儲(chǔ)設(shè)備,先查殺,后使用原則,做好以下措施,感染勒索病毒或者其他變異病毒,概率會(huì)大大降低。大家養(yǎng)成良好的操作習(xí)慣。以下是防范勒索病毒措施;Windows客戶(hù)端和服務(wù)器端同樣適用。”
一、病毒定義:
勒索病毒,是一種新型電腦病毒,主要以郵件、程序木馬、網(wǎng)頁(yè)掛馬的形式進(jìn)行傳播。該病毒性質(zhì)惡劣、危害極大,一旦感染將給用戶(hù)帶來(lái)無(wú)法估量的損失。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密,被感染者一般無(wú)法解密,必須拿到解密的私鑰才有可能破解。
2017年12月13日,“勒索病毒”入選國(guó)家語(yǔ)言資源監(jiān)測(cè)與研究中心發(fā)布的“2017年度中國(guó)媒體十大新詞語(yǔ)”。
從2018年初到9月中旬,勒索病毒總計(jì)對(duì)超過(guò)200萬(wàn)臺(tái)終端發(fā)起過(guò)攻擊,攻擊次數(shù)高達(dá)1700萬(wàn)余次,且整體呈上升趨勢(shì)。
二、傳播途徑:
勒索病毒文件一旦進(jìn)入本地,就會(huì)自動(dòng)運(yùn)行,同時(shí)刪除勒索軟件樣本,以躲避查殺和分析。接下來(lái),勒索病毒利用本地的互聯(lián)網(wǎng)訪問(wèn)權(quán)限連接至黑客的C&C服務(wù)器,進(jìn)而上傳本機(jī)信息并下載加密私鑰與公鑰,利用私鑰和公鑰對(duì)文件進(jìn)行加密。除了病毒開(kāi)發(fā)者本人,其他人是幾乎不可能解密。加密完成后,還會(huì)修改壁紙,在桌面等明顯位置生成勒索提示文件,指導(dǎo)用戶(hù)去繳納贖金。且變種類(lèi)型非??欤瑢?duì)常規(guī)的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類(lèi)型為主,對(duì)常規(guī)依靠特征檢測(cè)的安全產(chǎn)品是一個(gè)極大的挑戰(zhàn)。
通過(guò)漏洞發(fā)起的攻擊占攻擊總數(shù)的87.7%。由于win7、xp等老舊系統(tǒng)存在大量無(wú)法及時(shí)修復(fù)的漏洞,而政府、企業(yè)、學(xué)校、醫(yī)院等局域網(wǎng)機(jī)構(gòu)用戶(hù)使用較多的恰恰是win7、xp等老舊系統(tǒng),因此也成為病毒攻擊的重災(zāi)區(qū),病毒可以通過(guò)漏洞在局域網(wǎng)中無(wú)限傳播。相反,win10系統(tǒng)因?yàn)閺?qiáng)制更新,幾乎不受漏洞攻擊的影響。
通過(guò)郵件與廣告推廣的攻擊分別為7.4%、3.9%。雖然這兩類(lèi)傳播方式占比較少,但對(duì)于有收發(fā)郵件、網(wǎng)頁(yè)瀏覽需求的企業(yè)而言,依舊會(huì)受到威脅。
此外,對(duì)于某些特別依賴(lài)U盤(pán)、記錄儀辦公的局域網(wǎng)機(jī)構(gòu)用戶(hù)來(lái)說(shuō),外設(shè)則成為勒索病毒攻擊的特殊途徑。
三、攻擊對(duì)象:
勒索病毒一般分兩種攻擊對(duì)象,一部分針對(duì)企業(yè)用戶(hù)(如xtbl,wallet),一部分針對(duì)所有用戶(hù)。
四、病毒規(guī)律:
該類(lèi)型病毒的目標(biāo)性強(qiáng),主要以郵件為傳播方式。
勒索病毒文件一旦被用戶(hù)點(diǎn)擊打開(kāi),會(huì)利用連接至黑客的C&C服務(wù)器,進(jìn)而上傳本機(jī)信息并下載加密公鑰和私鑰。然后,將加密公鑰私鑰寫(xiě)入到注冊(cè)表中,遍歷本地所有磁盤(pán)中的Office 文檔、圖片等文件,對(duì)這些文件進(jìn)行格式篡改和加密;加密完成后,還會(huì)在桌面等明顯位置生成勒索提示文件,指導(dǎo)用戶(hù)去繳納贖金。
該類(lèi)型病毒可以導(dǎo)致重要文件無(wú)法讀取,關(guān)鍵數(shù)據(jù)被損壞,給用戶(hù)的正常工作帶來(lái)了極為嚴(yán)重的影響。
五、病毒分析
一般勒索病毒,運(yùn)行流程復(fù)雜,且針對(duì)關(guān)鍵數(shù)據(jù)以加密函數(shù)的方式進(jìn)行隱藏。以下為APT沙箱分析到樣本載體的關(guān)鍵行為。
1、調(diào)用加密算法庫(kù)。
2、通過(guò)腳本文件進(jìn)行Http請(qǐng)求。
3、通過(guò)腳本文件下載文件。
4、讀取遠(yuǎn)程服務(wù)器文件。
5、通過(guò)wscript執(zhí)行文件。
6、收集計(jì)算機(jī)信息。
7、遍歷文件。
六、病毒防御
1:關(guān)閉服務(wù)進(jìn)程(杜絕445端口)
開(kāi)始菜單-》控制面板-》管理工具-》服務(wù)-》Server,點(diǎn)擊禁止,然后啟動(dòng)類(lèi)型選擇禁用。
2:注冊(cè)表關(guān)閉勒索病毒服務(wù)
開(kāi)始菜單-》運(yùn)行-》REGEDIT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters新建DWORD鍵值,數(shù)值數(shù)據(jù)填寫(xiě)為0,基數(shù)選擇十六進(jìn)制,確定即可。
3:開(kāi)啟防火墻,防微杜漸過(guò)濾危險(xiǎn)端口
開(kāi)始菜單-》控制面板-》管理工具-》高級(jí)安全Windows Defender防火墻-》入站規(guī)則-》-》新建規(guī)則-》端口-》TCP-》特定本地端口-》阻止連接-》(域和專(zhuān)用還有公用)-》下一步-》名稱(chēng)和描述(比如135 & 135端口過(guò)濾阻止),其他端口過(guò)濾同上方法。
4:組策略安全設(shè)置ip安全策略
開(kāi)始菜單-》運(yùn)行-》gpedit.msc,打開(kāi)本地組策略編輯器。依次展開(kāi)“計(jì)算機(jī)配置---windows設(shè)置---安全設(shè)置---ip安全策略,在本地計(jì)算機(jī)”
以關(guān)閉139端口為例(其他端口操作相同):
在本地組策略編輯器右邊空白處 右鍵單擊鼠標(biāo),選擇“創(chuàng)建IP安全策略”,彈出IP安全策略向?qū)?duì)話(huà)框,單擊下一步;在出現(xiàn)的對(duì)話(huà)框中的名稱(chēng)處寫(xiě)“關(guān)閉端口”(可隨意填寫(xiě)),點(diǎn)擊下一步;對(duì)話(huà)框中的“激活默認(rèn)響應(yīng)規(guī)則”選項(xiàng)不要勾選,然后單擊下一步;勾選“編輯屬性”,單擊完成。在出現(xiàn)的“關(guān)閉端口 屬性”對(duì)話(huà)框中,選擇“規(guī)則”選項(xiàng)卡,去掉“使用添加向?qū)А鼻斑叺墓春螅瑔螕簟疤砑印卑粹o。在出現(xiàn)的“關(guān)閉端口 屬性”對(duì)話(huà)框中,選擇“規(guī)則”選項(xiàng)卡,去掉“使用 添加向?qū)А鼻斑叺墓春?,單擊“添加”按鈕。出現(xiàn)添加對(duì)話(huà)框,名稱(chēng)出填“封端口”(可隨意填寫(xiě)),去掉“使用添加向?qū)А鼻斑叺墓春?,單擊右邊的“添加”按鈕. 在出現(xiàn)的“IP篩選器屬性”對(duì)話(huà)框中,選擇“地址”選項(xiàng)卡,“源地址”選擇“任何”,“目標(biāo)地址”選擇“我的IP地址”;
選擇“協(xié)議”選項(xiàng)卡,各項(xiàng)設(shè)置如圖片中所示。設(shè)置好后點(diǎn)擊“確定”。 返回到“ip篩選器列表”,點(diǎn)擊“確定”。返回到“新規(guī)則 屬性”對(duì)話(huà)框
在ip篩選器列表中選擇剛才添加的“封端口”,然后選擇“篩選器操作”選項(xiàng)卡,,去掉“使用 添加向?qū)А鼻懊娴墓?,單擊“添加”按鈕
在“篩選器操作 屬性”中,選擇“安全方法”選項(xiàng)卡,選擇“阻止”選項(xiàng);在“常規(guī)”選項(xiàng)卡中,對(duì)該操作命名,點(diǎn)確定.
選中剛才新建的“新建1”,單擊關(guān)閉,返回到“關(guān)閉端口屬性“對(duì)話(huà)框,確認(rèn)“IP安全規(guī)則”中 封端口 規(guī)則被選中后,單擊 確定。
在組策略編輯器中,可以看到剛才新建的“關(guān)閉端口”規(guī)則,選中它并單擊鼠標(biāo)右鍵,選擇“分配”選項(xiàng),使該規(guī)則開(kāi)始應(yīng)用!
到此,大功告成,同樣的方法你可以添加對(duì)任何你想限制訪問(wèn)的端口的規(guī)則。
“綜上所述:增加個(gè)人網(wǎng)絡(luò)安全意識(shí),養(yǎng)成良好的上網(wǎng)習(xí)慣和日常操作習(xí)慣,安裝殺毒軟件和防火墻,升級(jí)病毒庫(kù),定期全盤(pán)殺毒,及時(shí)打系統(tǒng)漏洞補(bǔ)丁。定時(shí)做好數(shù)據(jù)備份,把重要數(shù)據(jù)加密轉(zhuǎn)移到安全的存儲(chǔ)介質(zhì)上,比如云盤(pán)和移動(dòng)硬盤(pán)。不要安裝過(guò)多的應(yīng)用軟件,不要輕易打開(kāi)陌生的電子郵件,不要點(diǎn)擊陌生人給你發(fā)送的鏈接地址,不要訪問(wèn)不知名的網(wǎng)站,不要點(diǎn)擊廣告內(nèi)容,使用移動(dòng)存儲(chǔ)設(shè)備,先查殺,后使用?!?/span>
本文轉(zhuǎn)載自:https://www.freebuf.com/column/195992.html