南通网站建设机构,最炫的网站,信息发布型企业网站的特点,织梦cms 网站计数免责声明
文章仅做经验分享用途#xff0c;利用本文章所提供的信息而造成的任何直接或者间接的后果及损失#xff0c;均由使用者本人负责#xff0c;作者不为此承担任何责任#xff0c;一旦造成后果请自行承担#xff01;#xff01;#xff01; 目录
免责声明
一利用本文章所提供的信息而造成的任何直接或者间接的后果及损失均由使用者本人负责作者不为此承担任何责任一旦造成后果请自行承担 目录
免责声明
一什么是勒索病毒
1.1勒索病毒定义
1.2如何判断遭受勒索病毒感染
1.3常见勒索病毒的种类
二勒索病毒攻击流程及工具
2.2攻击入侵阶段
2.3病毒植入阶段
三对勒索病毒应急响应步骤
3.1隔离
3.2取证
3.3专业人员排查
3.4加固
3.5恢复
3.6高级相应支持
4.1、摸清家底心中有数
4.2、全面风险评估整改要及时
4.3、开启实时监测快速发现响应
5.1个人终端防御技术
5.2企业级终端防御技术
5.3个人需要遵守的防御守则
结语 我们敌人是什么呢敌人使用的武器是什么呢我们被攻击后要怎么办呢我们怎么去防范敌人对我方攻击呢我们又有什么武器呢
本次我就来整合介绍一下我们在面对勒索病毒这个敌人时我们要做到知己知彼百战百胜。
一什么是勒索病毒
1.1勒索病毒定义
勒索病毒是一种黑客通过技术手段将受害者机器内的重要数据文件进行加密最终迫使受害者向黑客缴纳文件解密赎金黑客收到赎金后进一步协助受害者恢复被加密数据从而达到病毒非法牟利勒索钱财的目的勒索病毒是近年来极为流行的病毒类型之一。
勒索病毒主要有以下几种类型
A.使用加密算法对攻击机器内的文件进行加密流行
B.直接对磁盘分区进行加密较少
C.劫持操作系统引导区后禁止用户正常登录操作系统较少
1.2如何判断遭受勒索病毒感染
由于勒索病毒最终以勒索钱财为目的与传统类型病毒获利模式有较大差异当受害者遭受到勒索病毒攻击后会产生极为明显的受勒索特征。通过观察遭受勒索病毒攻击机器环境发现病毒造成的明显异常点可进一步确诊自身当前是否遭受到勒索病毒攻击。
具体可通过以下几种方式来进行判断自己中毒类型是否为勒索病毒。
1电脑桌面壁纸被篡改
勒索病毒攻击成功后为了让受害者第一时间感知到被病毒入侵部分情况下会修改用户当前电脑桌面壁纸告知受害者当前已被病毒感染需要加纳赎金行为GandCrab勒索病毒感染后修改壁纸为黑色北京且有勒索提示信息。
2有明显的勒索信息窗口展示
勒索病毒加密文件完成后通常会在被加密文件所在目录下创建一个勒索提示说明文档。为了更加直观勒索病毒加密文件完成后通常会自动打开该文档。该说明文档通常为txt或html文件类型部分病毒也会直接使用病毒程序弹出窗口的形式来展示勒索信息。
3文件后缀被修改且文件使用打开异常
勒索病毒通常为了标识文件是否被自身加密过当对文件加密完成后通常情况下会修改被加密文件的原始后缀被修改后的文件后缀区别于常见文件类型通过该后缀也可判断确诊是否遭受到了勒索病毒攻击下图为图片文件被加密后添加了dlkjq后缀此时该图片文件已无法正常打开使用。
1.3常见勒索病毒的种类
1LockBitLockBit于 2019 年 9 月首次以 ABCD勒索软件的形式出现2021年发布2.0版本相比第一代LockBit 2.0号称是世界上最快的加密软件加密100GB的文件仅需4分半钟。经过多次改进成为当今最多产的勒索软件系列之一。LockBi使用勒索软件即服务 (RaaS)模型并不断构思新方法以保持领先于竞争对手。它的双重勒索方法也给受害者增加了更大的压力加密和窃取数据据作者介绍和情报显示LockBi3.0版本已经诞生并且成功地勒索了很多企业。
2Gandcrab/Sodinokibi/REvilREvil勒索软件操作又名Sodinokibi是一家臭名昭著的勒索软件即服务 (RaaS) 运营商可能位于独联体国家假装不是老毛子。它于 2019 年作为现已解散的 GandCrab 勒索软件的继任者出现并且是暗网上最多产的勒索软件之一其附属机构已将目标锁定全球数千家技术公司、托管服务提供商和零售商,一直保持着60家合作商的模式。2021年暂停止运营抓了一部分散播者。
3Dharma/CrySiS/PhobosDharma勒索软件最早在 2016 年初被发现 其传播方式主要为 RDP 暴力破解和钓鱼邮件经研究发现 Phobos勒索软件、CrySiS勒索软件与 Dharma勒索软件有 许多相似之处故怀疑这几款勒索软件的 作者可能是同一组织。
4Globelmposter十二生肖Globelmposter又名十二生肖十二主神十二.....他于2017年开始活跃2019年前后开始对勒索程序进行了大的改版变更。攻击者具有一定的地域划分比如国内最常见的一个攻击者邮箱为China.Helperaol.com
5WannaRen已公开私钥WannaRen勒索家族的攻击报道最早于2020年4月通过下载站进行传播最终在受害者主机上运行并加密几乎所有文件同时屏幕会显示带有勒索信息的窗口要求受害者支付赎金但WannaRen始终未获得其要求的赎金金额并于几天后公开密钥。
6ContiConti勒索家族的攻击最早追踪到2019年作为“勒索软件即服务RaaS”其幕后运营团伙管理着恶意软件和Tor站点然后通过招募合作伙伴执行网络漏洞和加密设备。在近期因为分赃不均合作伙伴多次反水直接爆料攻击工具、教学视频、以及部分源代码。
7WannaCryWannaCry又叫Wanna Decryptor一种“蠕虫式”的勒索病毒软件由不法分子利用NSANational Security Agency美国国家安全局泄露的危险漏洞“EternalBlue”永恒之蓝进行传播WannaCry的出现也为勒索病毒开启了新的篇章。
8其他家族当然勒索病毒的家族远远不止如此。
二勒索病毒攻击流程及工具
黑客攻击也是有秘籍的我来给大家介绍一下黑客攻击四步走
2.1探测侦察阶段 收集基础信息。攻击者通过主动扫描、网络钓鱼以及在暗网黑市购买等方式收集攻击目标的网络信息、身份信息、主机信息、组织信息等为实施针对性、定向化的勒索病毒攻击打下基础。发现攻击入口。攻击者通过漏洞扫描、网络嗅探等方式发现攻击目标网络和系统存在的安全隐患形成网络攻击的突破口。此外参照勒索病毒典型传播方式攻击者同样可利用网站挂马、钓鱼邮件等方式传播勒索病毒。 2.2攻击入侵阶段
(1)部署攻击资源。根据发现的远程桌面弱口令、在网信息系统漏洞等网络攻击突破口部署相应的网络攻击资源如MetaSploit、CobaltStrike、RDP Over Tor等网络攻击工具。
(2)获取访问权限。采用合适的网络攻击工具通过软件供应链攻击、远程桌面入侵等方式获取攻击目标网络和系统的访问权限并通过使用特权账户、修改域策略设置等方式提升自身权限攻击入侵组织内部网络。 2.3病毒植入阶段
(1)植入勒索病毒。攻击者通过恶意脚本、动态链接库 DLL 等部署勒索病毒并劫持系统执行流程、修改注册表、混淆文件信息等方式规避安全软件检测功能确保勒索病毒成功植入并发挥作用。
(2)扩大感染范围。攻击者在已经入侵内部网络的情况下通过实施内部鱼叉式网络钓鱼、利用文件共享协议等方式在攻击目标内部网络横向移动或利用勒索病毒本身类蠕虫的功能进一步扩大勒索病毒感染范围和攻击影响。 2.4实施勒索阶段 加密窃取数据。攻击者通过运行勒索病毒加密图像 、视频、音频、文本等文件以及关键系统文件、磁盘引导记录等同时根据攻击目标类型回传发现的敏感、重要的文件和数据便于对攻击目标进行勒索。加载勒索信息。攻击者通过加载勒索信息胁迫攻击目标支付勒索赎金。通常勒索信息包括通过暗网论坛与攻击者的联系方式、以加密货币支付赎金的钱包地址、支付赎金获取解密工具的方式等。 三对勒索病毒应急响应步骤
3.1隔离
(1) 物理隔离
断网拔掉网线或禁用网卡笔记本也要禁用无线网络。
逻辑隔离
访问控制、关闭端口、修改密码。访问控制可以由防火墙等设备来设置禁止已感染主机与其他主机相互访问视情况关闭 135、139、445、3389 等端口避免漏洞被或 RDP 远 程 桌 面 服 务 被 利 用尽快修改被感染主机与同一局域网内的其他主机的密码尤其是管理员Windows下的AdministratorLinux 下的 root密码密码长度不少于 8 个字符至少包含以下四类字符中的三类大小写字母、数字、特殊符号不能是人名、计算机名、用户名等。
3.2取证
1入侵时间
通过文件修改时间、恶意程序落地时间、安全设备告警时间、系统日志等可以获得勒索者入侵时间。
2入侵范围/勒索的范围
通过网络结构及被害机器确定入侵范围其中分为已经获取全部权限并全部加密的机器有多少。通过内网扫描加密其他设备开启的文件共享系统加密有多少。未能加密被杀毒软件清理掉的或者未及时加密的有多少。
3确定攻击范围及手法
通过网络拓扑、是否有域、有哪些对外服务及应用以及有哪些安全设备如全流量/终端杀毒/防火墙/IDS/IPS日志分析系统来快速确认攻击手法、攻击路径、攻击手段等。常见的勒索病毒大部分是使用RDP爆破作为攻击方式进行突破互联网边界在勒索病毒取证排查中可以作为第一优先级比如哪些机器对外开放了RDP远程登录是否为弱口令安全设备日志系统是否记录RDP爆破或者异地登陆行为。
4常见攻击手法及流程
首先通过RDP爆破、钓鱼、漏洞、软件捆绑等等方式突破边界使用弱口令、漏洞、密码读取、网络嗅探等方式横移使用系统远程、远程工具、远控进行投递部分勒索家族会使用Rclone等工具进行窃密。当然还会使用一些手段进行对抗杀软或者EDR这里就不过多介绍了。
5窃密排查
根据不同的家族可以作为是否被窃密如LockBit家族通常就使用勒索加窃密双重威胁手段当然也可以关注暗网地下交易论坛来确定数据是否泄漏。
3.3专业人员排查
1.了解现状
第一时间了解目前什么情况
文件被加密
设备无法正常启动
勒索信息展示
桌面有新的文本文件并记录加密信息及解密联系方式
了解中毒时间
文件加密时间
设备无法正常启动的时间
新的文本文件的出现时间
了解事件发生时间后面以此时间点做排查重点
3.了解系统架构
4.确认感染机器
5.感染文件特征和感染时间
1、操作系统桌面是否有新的文本文件,文本文件中是否有详细的加密信息及解密联系方式
2、被加密的文件类型
3、加密后的文件后缀
6.被加密的文件类型
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
7.加密后的文件后缀
.WNCRYT.lock.pre_alpha.aes.aes_ni.xdata.aes_ni_0day .pr0tect.[stopstorageqq.com].java文件后缀无变化
8.确认感染时间
Linux系统
执行命令stat[空格]文件名包括三个时间access time访问时间、modify time内容修改时间、change time属性改变时间如
例stat /etc/passwd
Windows系统
例右键查看文件属性查看文件时间
9.处理方式
未被感染主机
关闭SSH、RDP等协议并且更改主机密码
备份系统重要数据、且文件备份应与主机隔离
禁止接入U盘、移动硬盘等可执行摆渡攻击的设备
被感染主机
立即对被感染主机进行隔离处置禁用所有有线及无线网卡或直接拔掉网线
防止病毒感染其他主机
禁止在被感染主机上使用U盘、移动硬盘等可执行摆渡攻击的设备
无法定位到文件
木马执行完毕后自删除
采用傀儡进程技术恶意代码只在内存展开执行
高级Rootkit或Bootkit级木马强对抗性三环工具无法探测
解决方式
收集系统事件日志保持系统环境请求后端技术支持
3.4加固
主机感染病毒一般都是由未修复的系统漏洞、未修复的应用漏洞或者弱口令导致所以在已知局域网内已有主机感染并将之隔离后应检测其他主机是否有上述的问题存在。
(1) 系统漏洞可以使用免费的安全软件检测并打补丁。
(2) 应用漏洞可以使用免费的漏扫产品AWVS、APPScan 等检测并升级或采用其他方式修复。
(3) 弱口令应立即修改密码长度不少于 8 个字符至少包含以下四类字符中的三类大小写字母、数字、特殊符号不能是人名、计算机名、用户名等。
3.5恢复
1数据恢复
数据恢复的方式大概分为如下几种
1通过备份来恢复数据这是最简单有效低成本的方式当然在日常处置勒索事件中要么是没有备份要么是备份也没加密了,当然关于备份这个详细方案日后再说。
2通过缴赎金来拿回密钥解密而往往缴赎金需要虚拟货币而且联系语言多数为非中文且需要提前支付能不能拿回密钥就看勒索者的信誉度。
3通过第三方机构进行解密第三方机构基本分为2种一种是可以恢复数据库文件因为数据库文件较大勒索一般不会全加密基于数据库的恢复机制进行恢复而普通文件则无法恢复另一种是第三方机构找勒索者购买密钥进行恢复。
4找到勒索病毒设计漏洞通过漏洞拿回加密密钥。
5等待勒索发布解密密钥这种几率很小很小。
2网络恢复
如果遭受勒索病毒的机器为单台且不是复杂网络环境那么可以重装系统安装预防勒索病毒守则进行防御。如果多台机器被勒索且网络环境复杂建议寻找专业人员按照应急流程进行恢复不要盲目恢复因为勒索者如果没拿到钱那么盲目恢复可能再次勒索如果拿到钱了盲目恢复可能未找到问题源头会被二次勒索。
3.6高级相应支持
基础措施可以一定程度上响应勒索事件但当病毒情况严重、感染主机较多或面对未知类型勒索变种基础措施的效果就十分有限。当有数百台甚至更多主机的场景感染勒索病毒是无法逐一去采取基础响应措施需要借助专业的安全产品进行监测、防护和专业的安全团队的技术支持。
1 监测APT警平台
安恒信息 APT 产品对网络中传输的已知和未知恶意文件样本结合病毒引擎、静态分析和动态分析对勒索病毒及其变种传播及时告警对传播类型、传播途径、恶意代码传播、回连域名、漏洞利用等行为进行深度解析准确定位感染源和感染主机。通过 APT 内置沙箱虚拟执行环境对流量中勒索病毒动态行为分析捕获其动态行为、网络行为、进程行为、文件行为、注册表行为等关键信息识别其中可疑的勒索病毒特点快速对网络中传输的勒索病毒样本进行预警。通过 APT 云端情报共享依托于云端海量数据、高级的机器学习和大数据分析能力及时共享最新的安全威胁情报发现已知和未知威胁恶意样本传播行为对勒索病毒更精确的定位分析。
2 查杀与防护EDR主机安全及管理系统
安恒主机卫士 EDR 通过“平台端”分布式部署“进程阻断诱饵引擎”双引擎防御已知及未知类型勒索病毒。部署监控端后通过平台统一下发安全策略。具备诱饵捕获引擎、内核级流量隔离等行业领先技术。对于 已知勒索病毒通过“进程启动防护引擎”零误报零漏报查杀对于 未知勒索病毒采用“专利级诱饵引擎”进行捕获阻断其加密行为通过内核级的流量隔离技术自动阻止勒索病毒在内网扩散或者接收远程控制端指令。
3 技术支持安恒信息安全服务
(1) 勒索病毒应急响应服务
在勒索病毒已经加密系统文件后既要遵循常规的应急响应实施过程也要针对勒索病毒的特点进行相对应的处理工作。在高级响应措施中安恒信息安全服务将基于第一现场收集到的各类应急处置信息例如病毒感染文件的最初时间结合操作系统日志、业务系统日志、网络设备日志等设备日志综合判断和构建这一时段信息系统各组件所执行的操作并通过内存取证硬盘镜像等电子证物取证技术手段开展恶意样本取证分析操作从以上应急响应业务操作中构建事件发展的时间线、证据链从而推测判断事件发生的准确原因以及病毒传播的源头并进一步根据所发现的各类电子证物追踪背后攻击者在各项应急处置过程进展顺利的情况下找出源头设备以及对应的攻击者。在完成现场取证操作后将对事件情况出具专业完整的应急响应报告专业的应急响应报告不但需要对事件的描述和判断也会针对此类勒索病毒事件给出专业的安全加固建议以及常用的应急处置办法从而在本次应急处置过后不会在完成系统恢复之后再次被感染从而造成更严重的影响。
(2) 开展应急响应的常规操作过程 过程 主要内容 初步信息收集 事发单位的网络拓扑情况单位信息系统人员情况针对事发系统的使用习惯事发信息系统的运维情况 上机操作 l l l 操作系统日志提取业务系统访问、操作、登录等日志提取病毒样本提取操作系统网络状态获取文件加密状态情况勒索内容表现形式 溯源操作 日志分析结果病毒分析结果主机安全漏洞排查情况病毒植入方式分析病毒影响范围与网络拓扑综合判断病毒扩散的方向-有外网入侵或内网系统相互传播初步给出入侵时间线、可疑 IP、其他可疑判断攻击者的数据 其他情况的处理 l 主机故障例如系统无法开机系统已经重启过多次等情况。日志缺失情况下的分析在未取证完毕的情况下受感染服务器重装系统现场要求数据恢复 让安全工作贯彻日常
4.1、摸清家底心中有数
一份完整的、详细的资产清单是安全工作的起点也是后续安全运营工作能够顺利开展的关键要素。借助安全工具对资产进行发现和识别梳理的信息包含操作系统、数据库、中间件、应用系统的版本类型IP地址应用开放协议和端口应用系统管理方式、资产的重要性以及网络拓扑等等。
4.2、全面风险评估整改要及时
根据前期资产摸排阶段形成关联资产清单、未知资产清单对单位的网络设备、服务器、中间件、数据库、应用系统、安全设备等开展全面的风险评估检测和整改。
网络架构评估
针对单位网络环境开展网络架构评估工作以评估单位网络环境在网络架构方面的合理性网络安全防护方面的健壮性是否已具备有效的防护措施输出《网络架构评估报告》
网络安全策略检查
针对单位网络环境中的网络设备、安全设备进行策略检查确保目前已有策略均按照“按需开放最小开放”的原则进行开放确保网络安全设备中无多余、过期的网络策略输出《网络安全策略核查报告》
网络安全基线检查
针对单位网络环境中的主机操作系统、数据库、中间件的进行安全基线检查重点检查多余服务、多余账号、口令策略是否存在默认口令和弱口令、文件系统权限、访问控制等配置情况输出《网络安全基线核查报告》
漏洞扫描检测
针对单位中的服务器、运维终端、主机、数据库以及中间件进行安全漏洞扫描输出《安全漏洞检测报告》
应用系统渗透测试
针对单位的系统应用进行渗透测试输出《应用系统渗透测试报告》基于以上风险评估检查发现的问题和隐患及时进行安全加固、策略配置优化和改进单位系统的自身防护能力和安全措施的效能减少安全隐患降低可能被外部攻击利用的脆弱性和风险。
4.3、开启实时监测快速发现响应
开展安全事件实时监测工作可借助安全防护设备全流量分析设备、Web防火墙、IDS、IPS、数据库审计等开展攻击安全事件实时监测对发现的攻击行为进行研判确认详细记录攻击相关数据为后续应急响应处置工作开展提供信息。 日后防护和守则
5.1个人终端防御技术
(一)文档自动备份隔离保护
文档自动备份隔离技术是360独创的一种勒索软件防护技术。这一技术在未来一两年内可能会成为安全软件反勒索技术的标配。
鉴于勒索软件一旦攻击成功往往难以修复而且具有变种多更新快大量采用免杀技术等特点因此单纯防范勒索软件感染并不是“万全之策”。但是无论勒索软件采用何种具体技术无论是哪一家族的哪一变种一个基本的共同特点就是会对文档进行篡改。而文档篡改行为具有很多明显的技术特征通过监测系统中是否存在文档篡改行为并对可能被篡改的文档加以必要的保护就可以在相当程度上帮助用户挽回勒索软件攻击的损失。
文档自动备份隔离技术就是在这一技术思想的具体实现360将其应用于360文档卫士功能模块当中。只要电脑里的文档出现被篡改的情况它会第一时间把文档自动备份在隔离区保护起来用户可以随时恢复文件。无论病毒如何变化只要它有篡改用户文档的行为就会触发文档自动备份隔离从而使用户可以免遭勒索不用支付赎金也能恢复文件。
360文档卫士的自动备份触发条件主要包括亮点一、开机后第一次修改文档二、有可疑程序篡改文档。当出现上述两种情况时文档卫士会默认备份包括Word、Excel、PowerPoint、PDF等格式在内的文件并在备份成功后出现提示信息。用户还可以在设置中选择添加更多需要备份的文件格式。比如电脑里的照片非常重要就可以把jpg等图片格式加入保护范围。
此外360文档卫士还集合了“文件解密”功能360安全专家通过对一些勒索软件家族进行逆向分析成功实现了多种类型的文件解密如2017年出现的“纵情文件修复敲诈者病毒”等。如有网友电脑已不慎中招可以尝试通过“文档解密”一键扫描并恢复被病毒加密的文件。
(二)综合性反勒索软件技术
与一般的病毒和木马相比勒索软件的代码特征和攻击行为都有很大的不同。采用任何单一防范技术都是不可靠的。综合运用各种新型安全技术来防范勒索软件攻击已经成为一种主流的技术趋势。
下面就以360安全卫士的相关创新功能来分析综合性反勒索软件技术。相关技术主要包括智能诱捕、行为追踪、智能文件格式分析、数据流分析等具体如下。
智能诱捕技术是捕获勒索软件的利器其具体方法是防护软件在电脑系统的各处设置陷阱文件当有病毒试图加密文件时就会首先命中设置的陷阱从而暴露其攻击行为。这样安全软件就可以快速无损的发现各类试图加密或破坏文件的恶意程序。
行为追踪技术是云安全与大数据综合运用的一种安全技术。基于360的云安全主动防御体系通过对程序行为的多维度智能分析安全软件可以对可疑的文件操作进行备份或内容检测一旦发现恶意修改则立即阻断并恢复文件内容。该技术主要用于拦截各类文件加密和破坏性攻击能够主动防御最新出现的勒索病毒。
智能文件格式分析技术是一种防护加速技术目的是尽可能的降低反勒索功能对用户体验的影响。实际上几乎所有的反勒索技术都会或多或少的增加安全软件和电脑系统的负担相关技术能否实用的关键就在于如何尽可能的降低其对系统性能的影响提升用户体验。360研发的智能文件格式分析技术可以快速识别数十种常用文档格式精准识别对文件内容的破坏性操作而基本不会影响正常文件操作在确保数据安全的同时又不影响用户体验。
数据流分析技术是一种将人工智能技术与安全防护技术相结合的新型文档安全保护技术。首先基于机器学习的方法我们可以在电脑内部的数据流层面分析出勒索软件对文档的读写操作与正常使用文档情况下的读写操作的区别而这些区别可以用于识别勒索软件攻击行为从而可以在“第一现场”捕获和过滤勒索软件避免勒索软件的读写操作实际作用于相关文档从而实现文档的有效保护。
5.2企业级终端防御技术
(一)云端免疫技术
在国内甚至全球范围内的政企机构中系统未打补丁或补丁更新不及时的情况都普遍存在。这并非是简单的安全意识问题而是多种客观因素限制了政企机构对系统设备的补丁管理。因此对无补丁系统或补丁更新较慢的系统的安全防护需求就成为一种“强需求”。而云端免疫技术就是解决此类问题的有效方法之一。这种技术已经被应用于360的终端安全解决方案之中。
所谓云端免疫实际上就是通过终端安全管理系统由云端直接下发免疫策略或补丁帮助用户电脑做防护或打补丁对于无法打补丁的电脑终端免疫工具下发的免疫策略本身也具有较强的定向防护能力可以阻止特定病毒的入侵除此之外云端还可以直接升级本地的免疫库或免疫工具保护用户的电脑安全。
需要说明的事云端免疫技术只是一种折中的解决方案并不是万能的或一劳永逸的未打补丁系统的安全性仍然比打了补丁的系统的安全性有一定差距。但就当前国内众多政企机构的实际网络环境而诺言云端免疫不失为一种有效的解决方案。
(二)密码保护技术
针对中小企业网络服务器的攻击是2017年勒索软件攻击的一大特点。而攻击者之所以能够渗透进入企业服务器绝大多数情况都是因为管理员设置的管理密码为弱密码或帐号密码被盗。因此加强登陆密码的安全管理也是一种必要的反勒索技术。
具体来看加强密码保住主要应从三个方面入手一是采用弱密码检验技术强制网络管理员使用复杂密码二是采用反暴力破解技术对于陌生IP的登陆位置和登陆次数进行严格控制三是采用VPN或双因子认证技术从而使攻击者即便盗取了管理员帐号和密码也无法轻易的登陆企业服务器。 5.3个人需要遵守的防御守则
1不要对外开放危险端口如RDP远程如果需要对外开放建议开启白名单模式和随机12位以上字母加数字加符号密码。
2多台机器不要使用相同的账号和口令
3登录口令要有足够的长度和复杂性并定期更换登录口令
4重要资料的共享文件夹应设置访问权限控制并进行定期冷备份
5Windows系统日志是否存在异常
6杀毒软件是否存在异常拦截情况
7安装安全防护软件并确保其正常运行。
8永远不要单击不安全的链接避免单击垃圾邮件或者未知网站上的链接。单击恶意链接可能会启动自动下载会导致计算机感染。
9避免透露个人信息如果收到不信任来源的电话、短信或者电子邮件要求您提供个人信息不要回复。正在计划进行勒索软件攻击的网络犯罪分子可能会尝试提前收集个人信息然后用这些信息制作专门针对您的钓鱼消息。如果对于消息是否合法有任何疑问请直接联系发送者。
10不要打开可疑的电子邮件附件勒索软件也可以通过电子邮件附件到您的设备。避免打开任何看起来可疑的附件。为了确保电子邮件可信请注意发件人并检查地址是否正确。永远不要打开提醒您运行宏指令进行查看的附件。如果附件被感染打开它将会运行恶意宏指令让恶意软件控制您的计算机。永远不要使用未知U盘永远不要把不知道来源的U盘或者其它存储媒体连接到您的计算机。网络犯罪分子可能感染了存储媒体然后把它放在公众地方引诱人使用它。
11保持您的程序和操作系统最新定期更新程序和操作系统有助于您防御恶意软件。执行更新时请确保获得最新安全补丁的益处。这会让网络犯罪分子更难利用您的程序中的漏洞。
12只使用已知的下载来源为了最小化下载勒索软件的风险永远不要从未知站点下载软件或者媒体文件。从经过验证的和信任网站进行下载。这种网站可以通过信任印章进行识别。请确保您正在使用的页面的浏览器地址栏用的是 https 而不是 http。地址栏中如果有一个盾牌或者锁头符号也可以表明页面安全。下载任何东西到移动设备时也请注意。
13在公共 Wi-Fi 网络上使用 VPN 服务谨慎使用公共 Wi-Fi 网络是防御勒索软件的明智保护措施。使用公共 Wi-Fi 网络时您的计算机更容易受到攻击。为了受到保护请避免使用公共 Wi-Fi 进行敏感交易或者使用安全的 VPN 服务。 结语
没有人规定一朵花一定要成长为向日葵或者玫瑰。
