6勒索病毒防護指引

勒索病毒防護指引勒索病毒背景自2017年5月WannaCry（永恒之藍勒索蠕蟲）大規(guī)模爆發(fā)以來，勒索病毒已成為對政企機構(gòu)和網(wǎng)民直接威脅最大的一類木馬病毒。大規(guī)模爆發(fā)的Globelmposter、GandCrab、Crysis等勒索病毒，攻擊者更是將攻擊的矛頭對準企業(yè)服務器，并形成產(chǎn)業(yè)化；而且勒索病毒的質(zhì)量和數(shù)量的不斷攀升，已經(jīng)成為政企機構(gòu)面臨的最大的網(wǎng)絡威脅之一。勒索病毒感染案例據(jù)某安全機構(gòu)監(jiān)測和評估顯示：每天感染用戶電腦的勒索病毒有10多種（家族），每天感染量高達10-15萬臺電腦，其中以漏洞為傳播途徑的勒索病毒占90%以上。翱案福善單日感染量評希傳儒方式Wannacryuoooo*蠹祠Genawm3400+郵件Foreign2000+多種LeckyS00+郵件Addvi?r7孫軍種近期發(fā)生的一些勒索病毒感染事件再次對我們敲響了警鐘。案例一：某上市公司福建某上市公司服務器被勒索病毒Ransom/Bunnyde入侵，導致該企業(yè)核心的ERP（財務系統(tǒng)）數(shù)據(jù)庫被加密向病毒團伙支付了50萬人民幣贖金后，獲得密鑰恢復了數(shù)據(jù)。該病毒是利用垃圾郵件和漏洞等方式傳播，工程師調(diào)查發(fā)現(xiàn)，該企業(yè)服務器既沒安裝補丁程序，又沒安裝任何安全軟件。案例二：某知名高校某南方知名高校學生使用個人電腦連接學校網(wǎng)絡時，被通過校園網(wǎng)主機系統(tǒng)漏洞進入的勒索病毒感染，包括畢業(yè)論文在內(nèi)的所有文件被加密，該病毒提示需要支付近1萬元人民幣贖金。該學生支付贖金后，病毒團伙并沒有提供任何解密方式。案例三：某服務提供商2019年11月9日擁有44萬客戶的ASP.NET網(wǎng)絡托管提供商遭到勒索軟件的攻擊，這是今年的第三家大型網(wǎng)絡托管提供商被勒索病毒網(wǎng)絡犯罪團伙攻擊，加密了客戶服務器上的數(shù)據(jù)，該公司被勒索病毒攻擊之后，客戶電話被打爆而不得不中斷客戶電話熱線，該公司網(wǎng)站在11月9日被迫關(guān)閉一整天。勒索病毒的來源通過對云上用戶的調(diào)查分析，大部分用戶未按照最佳的安全使用方式來使用云服務器資源，主要問題有：關(guān)鍵賬號存在弱口令或無認證機制服務器關(guān)鍵賬號（root、administrator）密碼簡單或無密碼。

數(shù)據(jù)庫（Redis、MongoDB、MySQL、MSsqlServer）等重要業(yè)務使用弱密碼或無密碼。無訪問控制策略，業(yè)務暴露在互聯(lián)網(wǎng)上RDP、SSH、Redis、MongoDB、MySQL、MSsqlServer等高危服務可以通過互聯(lián)網(wǎng)直接訪問。服務器操作系統(tǒng)和軟件存在高危漏洞惡意攻擊者可以利用服務器操作系統(tǒng)和應用服務軟件存在的高危漏洞，上傳加密勒索軟件或執(zhí)行勒索操作，實現(xiàn)遠程攻擊。如何判斷是否中了勒索病毒主機桌面被篡改主機感染勒索病毒后，最明顯的特征是電腦桌面發(fā)生明顯變化，即：桌面通常會出現(xiàn)新的文本文件或網(wǎng)頁文件，這些文件用來說明如何解密的信息，同時桌面上顯示勒索提示信息及解密聯(lián)系方式，通常提示信息英文較多，中文提示信息較少。W生一/七件學區(qū)自*網(wǎng)卜的丁生?珥芷FT上快慶中*H高口？"M?三和KL電可￡1W生一/七件學區(qū)自*網(wǎng)卜的丁生?珥芷FT上快慶中*H高口？"M?三和KL電可￡1晴 品MH號匕跖■它也之昨匕我的血睡出「時￡網(wǎng)融？仃切?訕??總供營帔曲江*不?-Lz^t,EtOETaH5曲流?正力打開■■工叩口3IM他肝田”內(nèi)行或景用-UT三天號用我當副患- 乜-L—依褊?-TtLHi■內(nèi)也出洋?冷常注.gt"kT-怩〒々了W點田，對中。上兇町T&E立L-W**56喟戶氨的第七■I次3?方就K娘小又再好萬迂?當恭胃百■奈?他我油-遇匕北11的胡丁門獸寸端庖，井山’肝黑河h工育近鞘*JUE-HSSttPr■也不整壬rru的M怛.日烹n怔，苗師文打? -t-：fi'-r3i.^■_-ifl-r；-'ir-：-- -MOTH?iR電由4?IFQ-ttlfi!**ft*-￡5：A?lEfi*?名，二小|柒那的* M1UB.BJ；用curn??聞Ib?Lmif除期UHdHMFLHl花曲57Tt>MvLvflG2：23：E7：41pji|nwncmLb?raiaiHdanAllyourfilesha*的bran：也門匚嚴1?1!Ml產(chǎn)n.■KcwlwpfiMag巾vMrfC■悄Mrieemim 附Wr也修 ET11131M用U3imlKWfWTlaYinnHrhrHl*lhfTMFraleMg*qr^nin*KnT^*prrv*whrian?lBg 才一"改0?Tfru>kri呼點4IIratnrawvidjfanim|l !!J rtkLmiMtiELpI:Ilhfatbw fibUtawMfanufbafflM由mIhAdii■L-sSrUa■diib-iii'h-uixn.IMMwfiMuk.IpfIfc）I4whJufeLiiBtattDI /unni!FjMvmv-YMlfr-n-fri-irt尊年味』.Rf:，Z了門文件后綴被篡改服務器感染勒索病毒后，另外一個典型特征是：辦公文檔、照片、視頻等文件的圖標變?yōu)椴豢纱蜷_形式，或者文件后綴名被篡改。一般來說，文件后綴名會被改成勒索病毒家族的名稱或其家族代表標志，如：GlobeImposter家族的后綴為.dream、.TRUE、.CHAK等；Satan家族的后綴.satan、sicck；Crysis家族的后綴有.ARROW、.arena等。下面為電腦感染勒索病毒后，幾種典型的文件后綴名被篡改或文件圖標篡改的示意圖。名稱 搟-HWDUDNCO-MANUALtxt 2。網(wǎng)址,txt.hwdudrKXj 2。一專利由謝調(diào)實務化學分冊pdfhwdud嬴 記五、"**安全產(chǎn)品選擇【云主機備份】幫助用戶建立完備的備份恢復體系安全防護的核心是確保核心數(shù)據(jù)的可用，只有建立完備的備份機制才能確保在遭受攻擊時能夠全身而退。****【云主機備份】、【云硬盤備份】服務可利用多種備份機制和策略周期性的幫助客戶進行備份。為應對勒索病毒的發(fā)生打好基礎(chǔ)。如希望進一步了解****存儲服務可以參見如下鏈接：/op-help-center/show/3?！緫B(tài)勢感知】建立全局威脅情報感知能力有效的識別和監(jiān)測是安全防護的關(guān)鍵。****【態(tài)勢感知平臺】通過采集系統(tǒng)的網(wǎng)絡安全數(shù)據(jù)信息，幫助用戶對所有安全數(shù)據(jù)進行統(tǒng)一處理分析，實現(xiàn)對網(wǎng)絡攻擊行為、安全威脅事件、日志、流量等網(wǎng)絡安全問題的發(fā)現(xiàn)和告警，形成安全可監(jiān)控、攻擊可防護、威脅可感知、事件可控制的安全閉環(huán)。如希望進一步了解****態(tài)勢感知服務可以參見如下鏈接：/product-introduction/awareness?！驹瓢踩行摹俊驹鰪娐┒磼呙琛侩p拳出擊提供全面檢測與防護配置全面的安全檢測和防護策略，不僅能有效防御勒索病毒，還能減少其他入侵行為導致的安全隱患。用戶可以通過購買****【云安全中心】和【增強漏洞掃描】，為云主機提供強大的監(jiān)測檢查能力，實時發(fā)現(xiàn)用戶云主機存在的安全問題，全面保障云主機安全。如希望進一步了解****云安全中心和漏掃產(chǎn)品可以參見如下鏈接/op-help-center/doc/category/1073;/op-help-center/doc/category/756。【增強漏洞掃描】讓Web防護更放心更安心Web服務會存在各種各樣的漏洞，攻擊者會利用Web漏洞上傳勒索病毒，對用戶資產(chǎn)造成破壞。****【增強漏洞掃描】可以快速評估網(wǎng)站（群），幫助用戶及時發(fā)現(xiàn)網(wǎng)站的風險隱患，指導用戶及時修復漏洞。如果用戶的Web站點同時配置【W(wǎng)eb應用防護】月服務，便可以對Web流量進行解碼和分析，有效應對SQL注入、XSS注入、CSRF等一系列Web攻擊。如希望進一步了解****Web漏掃服務可以參見如下鏈接/op-help-center/show/1101。六、勒索病毒的預防減少威脅事件的發(fā)生，降低勒索病毒感耨勺概率，我們建議采取以下措施進行預防：1、周期性的進行數(shù)據(jù)備份（按天增量、按周/月全量），并做好多副本異地存儲（按月/季度）；2、搭建具有容災能力的架構(gòu)，發(fā)生問題可以切換至備份系統(tǒng)保障系統(tǒng)連續(xù)性；3、建立代碼安全審查機制，開發(fā)流程中執(zhí)行黑盒白盒測試，減少代碼漏洞；4、分隔網(wǎng)絡區(qū)域，云主機之間通過設置安全組或者防火墻禁用非必要和不安全的流量；5、周期性檢查并更新云主機操作系統(tǒng)的補丁以及應用軟件的補?。?、對云主機進行安全加固，關(guān)閉135、137、138、139、445以及不必要的服務端口。主機上運行服務的默認端口號更改至非周知端口；7、云主機上安裝專業(yè)殺毒軟件并將病毒庫更新至最新；8、云主機禁用多余賬號并且賬號使用強度高切更為復雜的口令；9、云主機禁止使用root或者administrator直接登錄系統(tǒng)；10、定期對系統(tǒng)進行漏洞掃描和滲透測試，及時發(fā)現(xiàn)問題并進行解決。七、應急處置措施一旦遭受了勒索病毒的感染，我們需要采取一些列的手段將影響和威脅降低至最低，遭遇勒索病毒感染后最直接的辦法就是把中毒的機器進行斷網(wǎng)隔離，然后等待專業(yè)的安全服務人員上門進行處理，下面列舉了一套勒索病毒應急處置方法：斷網(wǎng)或關(guān)機處理，防止勒索病毒內(nèi)網(wǎng)傳播感染，造成更大的損失；恢復業(yè)務：斷網(wǎng)后，可通過備份恢復業(yè)務；排查業(yè)務系統(tǒng)：在已經(jīng)隔離被感染主機后，應對其他主機進行排查，檢查核心業(yè)務系統(tǒng)是否受到影響，并檢查備份系統(tǒng)是否被加密等，以確定感染的范圍；修改未感染主機的密碼并及時更新補丁，防止進一