發(fā)布日期:2021-06-11 瀏覽次數:6389
“勒索病毒風靡全球,病毒肆虐,讓企業(yè)和單位,包括個人蒙受損失,讓大家聞風色變,俗話說:“兵來將擋水來土掩”,病毒雖然猖獗,但是大家平時做好安全防護措施,增加安全意識,不要輕易打開陌生的郵件,包括廣告內容,及時更新系統(tǒng)和打系統(tǒng)漏洞補丁,還有使用移動存儲設備的時候,要升級病毒庫,查殺U盤。在使用移動存儲設備,先查殺,后使用原則,做好以下措施,感染勒索病毒或者其他變異病毒,概率會大大降低。大家養(yǎng)成良好的操作習慣。以下是防范勒索病毒措施;Windows客戶端和服務器端同樣適用。”
一、病毒定義:
勒索病毒,是一種新型電腦病毒,主要以郵件、程序木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。
2017年12月13日,“勒索病毒”入選國家語言資源監(jiān)測與研究中心發(fā)布的“2017年度中國媒體十大新詞語”。
從2018年初到9月中旬,勒索病毒總計對超過200萬臺終端發(fā)起過攻擊,攻擊次數高達1700萬余次,且整體呈上升趨勢。
二、傳播途徑:
勒索病毒文件一旦進入本地,就會自動運行,同時刪除勒索軟件樣本,以躲避查殺和分析。接下來,勒索病毒利用本地的互聯網訪問權限連接至黑客的C&C服務器,進而上傳本機信息并下載加密私鑰與公鑰,利用私鑰和公鑰對文件進行加密。除了病毒開發(fā)者本人,其他人是幾乎不可能解密。加密完成后,還會修改壁紙,在桌面等明顯位置生成勒索提示文件,指導用戶去繳納贖金。且變種類型非???,對常規(guī)的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主,對常規(guī)依靠特征檢測的安全產品是一個極大的挑戰(zhàn)。
通過漏洞發(fā)起的攻擊占攻擊總數的87.7%。由于win7、xp等老舊系統(tǒng)存在大量無法及時修復的漏洞,而政府、企業(yè)、學校、醫(yī)院等局域網機構用戶使用較多的恰恰是win7、xp等老舊系統(tǒng),因此也成為病毒攻擊的重災區(qū),病毒可以通過漏洞在局域網中無限傳播。相反,win10系統(tǒng)因為強制更新,幾乎不受漏洞攻擊的影響。
通過郵件與廣告推廣的攻擊分別為7.4%、3.9%。雖然這兩類傳播方式占比較少,但對于有收發(fā)郵件、網頁瀏覽需求的企業(yè)而言,依舊會受到威脅。
此外,對于某些特別依賴U盤、記錄儀辦公的局域網機構用戶來說,外設則成為勒索病毒攻擊的特殊途徑。
三、攻擊對象:
勒索病毒一般分兩種攻擊對象,一部分針對企業(yè)用戶(如xtbl,wallet),一部分針對所有用戶。
四、病毒規(guī)律:
該類型病毒的目標性強,主要以郵件為傳播方式。
勒索病毒文件一旦被用戶點擊打開,會利用連接至黑客的C&C服務器,進而上傳本機信息并下載加密公鑰和私鑰。然后,將加密公鑰私鑰寫入到注冊表中,遍歷本地所有磁盤中的Office 文檔、圖片等文件,對這些文件進行格式篡改和加密;加密完成后,還會在桌面等明顯位置生成勒索提示文件,指導用戶去繳納贖金。
該類型病毒可以導致重要文件無法讀取,關鍵數據被損壞,給用戶的正常工作帶來了極為嚴重的影響。
五、病毒分析
一般勒索病毒,運行流程復雜,且針對關鍵數據以加密函數的方式進行隱藏。以下為APT沙箱分析到樣本載體的關鍵行為。
1、調用加密算法庫。
2、通過腳本文件進行Http請求。
3、通過腳本文件下載文件。
4、讀取遠程服務器文件。
5、通過wscript執(zhí)行文件。
6、收集計算機信息。
7、遍歷文件。
六、病毒防御
1:關閉服務進程(杜絕445端口)
開始菜單-》控制面板-》管理工具-》服務-》Server,點擊禁止,然后啟動類型選擇禁用。
2:注冊表關閉勒索病毒服務
開始菜單-》運行-》REGEDIT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters新建DWORD鍵值,數值數據填寫為0,基數選擇十六進制,確定即可。
3:開啟防火墻,防微杜漸過濾危險端口
開始菜單-》控制面板-》管理工具-》高級安全Windows Defender防火墻-》入站規(guī)則-》-》新建規(guī)則-》端口-》TCP-》特定本地端口-》阻止連接-》(域和專用還有公用)-》下一步-》名稱和描述(比如135 & 135端口過濾阻止),其他端口過濾同上方法。
4:組策略安全設置ip安全策略
開始菜單-》運行-》gpedit.msc,打開本地組策略編輯器。依次展開“計算機配置---windows設置---安全設置---ip安全策略,在本地計算機”
以關閉139端口為例(其他端口操作相同):
在本地組策略編輯器右邊空白處 右鍵單擊鼠標,選擇“創(chuàng)建IP安全策略”,彈出IP安全策略向導對話框,單擊下一步;在出現的對話框中的名稱處寫“關閉端口”(可隨意填寫),點擊下一步;對話框中的“激活默認響應規(guī)則”選項不要勾選,然后單擊下一步;勾選“編輯屬性”,單擊完成。在出現的“關閉端口 屬性”對話框中,選擇“規(guī)則”選項卡,去掉“使用添加向導”前邊的勾后,單擊“添加”按鈕。在出現的“關閉端口 屬性”對話框中,選擇“規(guī)則”選項卡,去掉“使用 添加向導”前邊的勾后,單擊“添加”按鈕。出現添加對話框,名稱出填“封端口”(可隨意填寫),去掉“使用添加向導”前邊的勾后,單擊右邊的“添加”按鈕. 在出現的“IP篩選器屬性”對話框中,選擇“地址”選項卡,“源地址”選擇“任何”,“目標地址”選擇“我的IP地址”;
選擇“協(xié)議”選項卡,各項設置如圖片中所示。設置好后點擊“確定”。 返回到“ip篩選器列表”,點擊“確定”。返回到“新規(guī)則 屬性”對話框
在ip篩選器列表中選擇剛才添加的“封端口”,然后選擇“篩選器操作”選項卡,,去掉“使用 添加向導”前面的勾,單擊“添加”按鈕
在“篩選器操作 屬性”中,選擇“安全方法”選項卡,選擇“阻止”選項;在“常規(guī)”選項卡中,對該操作命名,點確定.
選中剛才新建的“新建1”,單擊關閉,返回到“關閉端口屬性“對話框,確認“IP安全規(guī)則”中 封端口 規(guī)則被選中后,單擊 確定。
在組策略編輯器中,可以看到剛才新建的“關閉端口”規(guī)則,選中它并單擊鼠標右鍵,選擇“分配”選項,使該規(guī)則開始應用!
到此,大功告成,同樣的方法你可以添加對任何你想限制訪問的端口的規(guī)則。
“綜上所述:增加個人網絡安全意識,養(yǎng)成良好的上網習慣和日常操作習慣,安裝殺毒軟件和防火墻,升級病毒庫,定期全盤殺毒,及時打系統(tǒng)漏洞補丁。定時做好數據備份,把重要數據加密轉移到安全的存儲介質上,比如云盤和移動硬盤。不要安裝過多的應用軟件,不要輕易打開陌生的電子郵件,不要點擊陌生人給你發(fā)送的鏈接地址,不要訪問不知名的網站,不要點擊廣告內容,使用移動存儲設備,先查殺,后使用?!?/span>
本文轉載自:https://www.freebuf.com/column/195992.html