預(yù)防勒索病毒

發(fā)布日期：2019-08-21 發(fā)布人：原創(chuàng) 瀏覽次數(shù)：4542

“勒索病毒”、“網(wǎng)絡(luò)安全”等似乎成為了2017年至2018年熱點(diǎn)事件。比特幣似乎成為了黑客最喜歡的勒索方式。近期黑客針對用戶下手，導(dǎo)致系統(tǒng)故障，部分系統(tǒng)處于癱瘓狀態(tài)，影響正常辦公，情況極其惡劣。

勒索病毒演進(jìn)過程

第一階段：加密設(shè)備，不加密數(shù)據(jù)

時(shí)間：2008年以前

勒索方式：主要是鎖定設(shè)備

主要家族：LockScreen

產(chǎn)生影響：

2008年以前，勒索病毒一般不加密用戶數(shù)據(jù)，只鎖住用戶設(shè)備，需提供贖金才能解鎖。由于這一階段的勒索病毒不加密用戶數(shù)據(jù)，所以只要清除病毒就不會給用戶造成除勒索資金外的其他損失。該類勒索病毒帶來的危害較小。

第二階段：加密數(shù)據(jù)，交付贖金后解密

時(shí)間：2013年前后

勒索方式：加密用戶數(shù)據(jù)

主要家族：CTB-Locker、TeslaCrypt、Cerber

產(chǎn)生影響：

2013年，以加密用戶數(shù)據(jù)勒索贖金的勒索軟件出現(xiàn)在公眾視野；此類病毒采用高強(qiáng)度對稱和非對稱的加密算法；當(dāng)時(shí)的多數(shù)用戶安全算力不足無法解密，受害用戶只能支付贖金，因此該類型的勒索軟件給黑客帶來很大收益。

第三階段：攻陷單點(diǎn)后，橫向擴(kuò)散

時(shí)間：2017年前后

勒索方式：加密用戶數(shù)據(jù)

主要家族：WannaCry、Satan等

產(chǎn)生影響：

此階段，勒索病毒開始通過漏洞或弱口令等方式發(fā)起蠕蟲式攻擊，典型的如 WannaCry、Satan等病毒，除使用永恒之藍(lán)漏洞傳播外，還內(nèi)置多種web漏洞攻擊功能，相比傳統(tǒng)的勒索病毒傳播能力更強(qiáng)、速度更快；此類病毒利用的傳播手法非常危險(xiǎn)。

從發(fā)展階段來看，勒索病毒由設(shè)備的加密逐步演化成對數(shù)據(jù)的加密，觸角逐漸往企業(yè)核心數(shù)據(jù)資產(chǎn)中滲透，帶來的破壞性也越來越強(qiáng)，不僅影響數(shù)據(jù)本身的完整性與可用性，對于業(yè)務(wù)系統(tǒng)造成的損失也是不可估量的。

勒索病毒軟件傳播方式

勒索軟件的傳播手段主要以成本較低的郵件傳播為主。同時(shí)也有針對醫(yī)院、企業(yè)等特定組織的攻擊，通過入侵組織內(nèi)部的服務(wù)器，散播勒索軟件。隨著人們對勒索軟件的警惕性提高，勒索者也增加了其他的傳播渠道，具體的傳播方式如下：

郵件傳播：攻擊者以廣撒網(wǎng)的方式大量傳播垃圾郵件、釣魚郵件，一旦收件人打開郵件附件或者點(diǎn)擊郵件中的鏈接地址，勒索軟件會以用戶看不見的形式在后臺靜默安裝，實(shí)施勒索；

漏洞傳播：當(dāng)用戶正常訪問網(wǎng)站時(shí)，攻擊者利用頁面上的惡意廣告驗(yàn)證用戶的瀏覽器是否有可利用的漏洞。如果存在，則利用漏洞將勒索軟件下載到用戶的主機(jī)；

捆綁傳播：與其他惡意軟件捆綁傳播；

僵尸網(wǎng)絡(luò)傳播：一方面僵尸網(wǎng)絡(luò)可以發(fā)送大量的垃圾郵件，另一方面僵尸網(wǎng)絡(luò)為勒索軟件即服務(wù)(RaaS)的發(fā)展起到了支撐作用；

可移動存儲介質(zhì)、本地和遠(yuǎn)程的驅(qū)動器（如C盤和掛載的磁盤）傳播：惡意軟件會自我復(fù)制到所有本地驅(qū)動器的根目錄中，并成為具有隱藏屬性和系統(tǒng)屬性的可執(zhí)行文件；

文件網(wǎng)站傳播：勒索軟件存儲在一些小眾的文件共享網(wǎng)站，等待用戶點(diǎn)擊鏈接下載文件；

網(wǎng)頁掛馬傳播：當(dāng)用戶不小心訪問惡意網(wǎng)站時(shí)，勒索軟件會被瀏覽器自動下載并在后臺運(yùn)行；

社交網(wǎng)絡(luò)傳播：勒索軟件以社交網(wǎng)絡(luò)中的.JPG圖片或者其他惡意文件載體傳播。

勒索病毒的防御可以分為：數(shù)據(jù)安全、網(wǎng)絡(luò)安全、終端安全3個維度，通過執(zhí)行全面標(biāo)準(zhǔn)化的安全防護(hù)動作，構(gòu)建全方位的安全防護(hù)體系。為應(yīng)付日益嚴(yán)峻的數(shù)據(jù)安全、網(wǎng)絡(luò)安全、終端安全的形式，我們可以從以下4個方面做好相應(yīng)的安全防護(hù)措施：

第一：規(guī)范管理、增強(qiáng)網(wǎng)絡(luò)安全、數(shù)據(jù)安全意識

1、增強(qiáng)安全意識，使用強(qiáng)口令。避免被攻擊和口令爆破。

2、加強(qiáng)對U盤等移動介質(zhì)的管理，避免病毒通過U盤傳播。

3、加強(qiáng)用戶安全意識培訓(xùn)，不要下載不明文件、點(diǎn)擊不明電子郵件附件、或點(diǎn)擊電子郵件中來路不明的網(wǎng)頁鏈接；畢竟人是安全鏈中最薄弱的一環(huán)，需要圍繞他們制定計(jì)劃。

第二：數(shù)據(jù)安全，定時(shí)自動數(shù)據(jù)備份（備份一體機(jī)解決方案）

根據(jù)勒索軟件、病毒最終的勒索方式，有針對性的做預(yù)防措施。勒索方式主要是加密或破壞用戶數(shù)據(jù)。如果我們提前做好了備份，即使感染了病毒，也可以直接啟用備份，避免受影響。反病毒和反惡意軟件網(wǎng)絡(luò)防護(hù)產(chǎn)品雖然防護(hù)給力，但是未知網(wǎng)絡(luò)威脅發(fā)展太快，任何工具都無法提供100%防護(hù)。所以定時(shí)自動的數(shù)據(jù)備份是預(yù)防勒索病毒最基礎(chǔ)、最重要的方式之一。

第三：網(wǎng)絡(luò)安全防護(hù)（部署下一代防火墻）

在互聯(lián)網(wǎng)出口和服務(wù)器數(shù)據(jù)中心區(qū)域部署下一代防火墻，提供漏洞防護(hù)，木馬病毒等惡意軟件的過濾，僵尸網(wǎng)絡(luò)和DDOS攻擊檢測，過濾網(wǎng)絡(luò)層和應(yīng)用層的威脅流量，防止威脅攻擊橫向傳播，保護(hù)重要業(yè)務(wù)系統(tǒng)，并對安全域間的威脅進(jìn)行檢測和保護(hù)。