勒索病毒防范措施

“勒索病毒風(fēng)靡全球，病毒肆虐，讓企業(yè)和單位，包括個(gè)人蒙受損失，讓大家聞風(fēng)色變，俗話說(shuō)：“兵來(lái)將擋水來(lái)土掩”，病毒雖然猖獗，但是大家平時(shí)做好安全防護(hù)措施，增加安全意識(shí)，不要輕易打開陌生的郵件，包括廣告內(nèi)容，及時(shí)更新系統(tǒng)和打系統(tǒng)漏洞補(bǔ)丁，還有使用移動(dòng)存儲(chǔ)設(shè)備的時(shí)候，要升級(jí)病毒庫(kù)，查殺U盤。在使用移動(dòng)存儲(chǔ)設(shè)備，先查殺，后使用原則，做好以下措施，感染勒索病毒或者其他變異病毒，概率會(huì)大大降低。大家養(yǎng)成良好的操作習(xí)慣。以下是防范勒索病毒措施；Windows客戶端和服務(wù)器端同樣適用。”

一、病毒定義：

勒索病毒，是一種新型電腦病毒，主要以郵件、程序木馬、網(wǎng)頁(yè)掛馬的形式進(jìn)行傳播。該病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶帶來(lái)無(wú)法估量的損失。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密，被感染者一般無(wú)法解密，必須拿到解密的私鑰才有可能破解。

2017年12月13日，“勒索病毒”入選國(guó)家語(yǔ)言資源監(jiān)測(cè)與研究中心發(fā)布的“2017年度中國(guó)媒體十大新詞語(yǔ)”。

從2018年初到9月中旬，勒索病毒總計(jì)對(duì)超過(guò)200萬(wàn)臺(tái)終端發(fā)起過(guò)攻擊，攻擊次數(shù)高達(dá)1700萬(wàn)余次，且整體呈上升趨勢(shì)。

二、傳播途徑：

勒索病毒文件一旦進(jìn)入本地，就會(huì)自動(dòng)運(yùn)行，同時(shí)刪除勒索軟件樣本，以躲避查殺和分析。接下來(lái)，勒索病毒利用本地的互聯(lián)網(wǎng)訪問(wèn)權(quán)限連接至黑客的C&C服務(wù)器，進(jìn)而上傳本機(jī)信息并下載加密私鑰與公鑰，利用私鑰和公鑰對(duì)文件進(jìn)行加密。除了病毒開發(fā)者本人，其他人是幾乎不可能解密。加密完成后，還會(huì)修改壁紙，在桌面等明顯位置生成勒索提示文件，指導(dǎo)用戶去繳納贖金。且變種類型非?？?，對(duì)常規(guī)的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主，對(duì)常規(guī)依靠特征檢測(cè)的安全產(chǎn)品是一個(gè)極大的挑戰(zhàn)。

通過(guò)漏洞發(fā)起的攻擊占攻擊總數(shù)的87.7%。由于win7、xp等老舊系統(tǒng)存在大量無(wú)法及時(shí)修復(fù)的漏洞，而政府、企業(yè)、學(xué)校、醫(yī)院等局域網(wǎng)機(jī)構(gòu)用戶使用較多的恰恰是win7、xp等老舊系統(tǒng)，因此也成為病毒攻擊的重災(zāi)區(qū)，病毒可以通過(guò)漏洞在局域網(wǎng)中無(wú)限傳播。相反，win10系統(tǒng)因?yàn)閺?qiáng)制更新，幾乎不受漏洞攻擊的影響。

通過(guò)郵件與廣告推廣的攻擊分別為7.4%、3.9%。雖然這兩類傳播方式占比較少，但對(duì)于有收發(fā)郵件、網(wǎng)頁(yè)瀏覽需求的企業(yè)而言，依舊會(huì)受到威脅。

此外，對(duì)于某些特別依賴U盤、記錄儀辦公的局域網(wǎng)機(jī)構(gòu)用戶來(lái)說(shuō)，外設(shè)則成為勒索病毒攻擊的特殊途徑。

三、攻擊對(duì)象：

勒索病毒一般分兩種攻擊對(duì)象，一部分針對(duì)企業(yè)用戶(如xtbl，wallet)，一部分針對(duì)所有用戶。

四、病毒規(guī)律：

該類型病毒的目標(biāo)性強(qiáng)，主要以郵件為傳播方式。

勒索病毒文件一旦被用戶點(diǎn)擊打開，會(huì)利用連接至黑客的C&C服務(wù)器，進(jìn)而上傳本機(jī)信息并下載加密公鑰和私鑰。然后，將加密公鑰私鑰寫入到注冊(cè)表中，遍歷本地所有磁盤中的Office 文檔、圖片等文件，對(duì)這些文件進(jìn)行格式篡改和加密;加密完成后，還會(huì)在桌面等明顯位置生成勒索提示文件，指導(dǎo)用戶去繳納贖金。

該類型病毒可以導(dǎo)致重要文件無(wú)法讀取，關(guān)鍵數(shù)據(jù)被損壞，給用戶的正常工作帶來(lái)了極為嚴(yán)重的影響。

五、病毒分析

一般勒索病毒，運(yùn)行流程復(fù)雜，且針對(duì)關(guān)鍵數(shù)據(jù)以加密函數(shù)的方式進(jìn)行隱藏。以下為APT沙箱分析到樣本載體的關(guān)鍵行為。

1、調(diào)用加密算法庫(kù)。

2、通過(guò)腳本文件進(jìn)行Http請(qǐng)求。

3、通過(guò)腳本文件下載文件。

4、讀取遠(yuǎn)程服務(wù)器文件。

5、通過(guò)wscript執(zhí)行文件。

6、收集計(jì)算機(jī)信息。

7、遍歷文件。

六、病毒防御

1：關(guān)閉服務(wù)進(jìn)程（杜絕445端口）

開始菜單-》控制面板-》管理工具-》服務(wù)-》Server,點(diǎn)擊禁止，然后啟動(dòng)類型選擇禁用。

2：注冊(cè)表關(guān)閉勒索病毒服務(wù)

開始菜單-》運(yùn)行-》REGEDIT

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters新建DWORD鍵值，數(shù)值數(shù)據(jù)填寫為0，基數(shù)選擇十六進(jìn)制，確定即可。

3：開啟防火墻，防微杜漸過(guò)濾危險(xiǎn)端口

開始菜單-》控制面板-》管理工具-》高級(jí)安全Windows Defender防火墻-》入站規(guī)則-》-》新建規(guī)則-》端口-》TCP-》特定本地端口-》阻止連接-》（域和專用還有公用）-》下一步-》名稱和描述（比如135 & 135端口過(guò)濾阻止），其他端口過(guò)濾同上方法。

4：組策略安全設(shè)置ip安全策略

開始菜單-》運(yùn)行-》gpedit.msc,打開本地組策略編輯器。依次展開“計(jì)算機(jī)配置---windows設(shè)置---安全設(shè)置---ip安全策略，在本地計(jì)算機(jī)”

以關(guān)閉139端口為例（其他端口操作相同）：

在本地組策略編輯器右邊空白處 右鍵單擊鼠標(biāo)，選擇“創(chuàng)建IP安全策略”，彈出IP安全策略向?qū)?duì)話框，單擊下一步；在出現(xiàn)的對(duì)話框中的名稱處寫“關(guān)閉端口”（可隨意填寫），點(diǎn)擊下一步；對(duì)話框中的“激活默認(rèn)響應(yīng)規(guī)則”選項(xiàng)不要勾選，然后單擊下一步；勾選“編輯屬性”，單擊完成。在出現(xiàn)的“關(guān)閉端口 屬性”對(duì)話框中，選擇“規(guī)則”選項(xiàng)卡，去掉“使用添加向?qū)А鼻斑叺墓春?，單擊“添加”按鈕。在出現(xiàn)的“關(guān)閉端口 屬性”對(duì)話框中，選擇“規(guī)則”選項(xiàng)卡，去掉“使用 添加向?qū)А鼻斑叺墓春螅瑔螕簟疤砑印卑粹o。出現(xiàn)添加對(duì)話框，名稱出填“封端口”（可隨意填寫），去掉“使用添加向?qū)А鼻斑叺墓春?，單擊右邊的“添加”按鈕. 在出現(xiàn)的“IP篩選器屬性”對(duì)話框中，選擇“地址”選項(xiàng)卡，“源地址”選擇“任何”，“目標(biāo)地址”選擇“我的IP地址”；

選擇“協(xié)議”選項(xiàng)卡，各項(xiàng)設(shè)置如圖片中所示。設(shè)置好后點(diǎn)擊“確定”。 返回到“ip篩選器列表”，點(diǎn)擊“確定”。返回到“新規(guī)則 屬性”對(duì)話框

在ip篩選器列表中選擇剛才添加的“封端口”，然后選擇“篩選器操作”選項(xiàng)卡，，去掉“使用 添加向?qū)А鼻懊娴墓?，單擊“添加”按鈕

在“篩選器操作 屬性”中，選擇“安全方法”選項(xiàng)卡，選擇“阻止”選項(xiàng)；在“常規(guī)”選項(xiàng)卡中，對(duì)該操作命名，點(diǎn)確定.

選中剛才新建的“新建1”，單擊關(guān)閉，返回到“關(guān)閉端口屬性“對(duì)話框，確認(rèn)“IP安全規(guī)則”中 封端口 規(guī)則被選中后，單擊 確定。

在組策略編輯器中，可以看到剛才新建的“關(guān)閉端口”規(guī)則，選中它并單擊鼠標(biāo)右鍵，選擇“分配”選項(xiàng)，使該規(guī)則開始應(yīng)用！

到此，大功告成，同樣的方法你可以添加對(duì)任何你想限制訪問(wèn)的端口的規(guī)則。

“綜上所述：增加個(gè)人網(wǎng)絡(luò)安全意識(shí)，養(yǎng)成良好的上網(wǎng)習(xí)慣和日常操作習(xí)慣，安裝殺毒軟件和防火墻，升級(jí)病毒庫(kù)，定期全盤殺毒，及時(shí)打系統(tǒng)漏洞補(bǔ)丁。定時(shí)做好數(shù)據(jù)備份，把重要數(shù)據(jù)加密轉(zhuǎn)移到安全的存儲(chǔ)介質(zhì)上，比如云盤和移動(dòng)硬盤。不要安裝過(guò)多的應(yīng)用軟件，不要輕易打開陌生的電子郵件，不要點(diǎn)擊陌生人給你發(fā)送的鏈接地址，不要訪問(wèn)不知名的網(wǎng)站，不要點(diǎn)擊廣告內(nèi)容，使用移動(dòng)存儲(chǔ)設(shè)備，先查殺，后使用?！?/span>

本文轉(zhuǎn)載自：https://www.freebuf.com/column/195992.html