6勒索病毒防護(hù)指引

勒索病毒防護(hù)指引勒索病毒背景自2017年5月WannaCry（永恒之藍(lán)勒索蠕蟲(chóng)）大規(guī)模爆發(fā)以來(lái)，勒索病毒已成為對(duì)政企機(jī)構(gòu)和網(wǎng)民直接威脅最大的一類(lèi)木馬病毒。大規(guī)模爆發(fā)的Globelmposter、GandCrab、Crysis等勒索病毒，攻擊者更是將攻擊的矛頭對(duì)準(zhǔn)企業(yè)服務(wù)器，并形成產(chǎn)業(yè)化；而且勒索病毒的質(zhì)量和數(shù)量的不斷攀升，已經(jīng)成為政企機(jī)構(gòu)面臨的最大的網(wǎng)絡(luò)威脅之一。勒索病毒感染案例據(jù)某安全機(jī)構(gòu)監(jiān)測(cè)和評(píng)估顯示：每天感染用戶(hù)電腦的勒索病毒有10多種（家族），每天感染量高達(dá)10-15萬(wàn)臺(tái)電腦，其中以漏洞為傳播途徑的勒索病毒占90%以上。翱案福善單日感染量評(píng)希傳儒方式Wannacryuoooo*蠹祠Genawm3400+郵件Foreign2000+多種LeckyS00+郵件Addvi?r7孫軍種近期發(fā)生的一些勒索病毒感染事件再次對(duì)我們敲響了警鐘。案例一：某上市公司福建某上市公司服務(wù)器被勒索病毒Ransom/Bunnyde入侵，導(dǎo)致該企業(yè)核心的ERP（財(cái)務(wù)系統(tǒng)）數(shù)據(jù)庫(kù)被加密向病毒團(tuán)伙支付了50萬(wàn)人民幣贖金后，獲得密鑰恢復(fù)了數(shù)據(jù)。該病毒是利用垃圾郵件和漏洞等方式傳播，工程師調(diào)查發(fā)現(xiàn)，該企業(yè)服務(wù)器既沒(méi)安裝補(bǔ)丁程序，又沒(méi)安裝任何安全軟件。案例二：某知名高校某南方知名高校學(xué)生使用個(gè)人電腦連接學(xué)校網(wǎng)絡(luò)時(shí)，被通過(guò)校園網(wǎng)主機(jī)系統(tǒng)漏洞進(jìn)入的勒索病毒感染，包括畢業(yè)論文在內(nèi)的所有文件被加密，該病毒提示需要支付近1萬(wàn)元人民幣贖金。該學(xué)生支付贖金后，病毒團(tuán)伙并沒(méi)有提供任何解密方式。案例三：某服務(wù)提供商2019年11月9日擁有44萬(wàn)客戶(hù)的ASP.NET網(wǎng)絡(luò)托管提供商遭到勒索軟件的攻擊，這是今年的第三家大型網(wǎng)絡(luò)托管提供商被勒索病毒網(wǎng)絡(luò)犯罪團(tuán)伙攻擊，加密了客戶(hù)服務(wù)器上的數(shù)據(jù)，該公司被勒索病毒攻擊之后，客戶(hù)電話(huà)被打爆而不得不中斷客戶(hù)電話(huà)熱線(xiàn)，該公司網(wǎng)站在11月9日被迫關(guān)閉一整天。勒索病毒的來(lái)源通過(guò)對(duì)云上用戶(hù)的調(diào)查分析，大部分用戶(hù)未按照最佳的安全使用方式來(lái)使用云服務(wù)器資源，主要問(wèn)題有：關(guān)鍵賬號(hào)存在弱口令或無(wú)認(rèn)證機(jī)制服務(wù)器關(guān)鍵賬號(hào)（root、administrator）密碼簡(jiǎn)單或無(wú)密碼。

數(shù)據(jù)庫(kù)（Redis、MongoDB、MySQL、MSsqlServer）等重要業(yè)務(wù)使用弱密碼或無(wú)密碼。無(wú)訪(fǎng)問(wèn)控制策略，業(yè)務(wù)暴露在互聯(lián)網(wǎng)上RDP、SSH、Redis、MongoDB、MySQL、MSsqlServer等高危服務(wù)可以通過(guò)互聯(lián)網(wǎng)直接訪(fǎng)問(wèn)。服務(wù)器操作系統(tǒng)和軟件存在高危漏洞惡意攻擊者可以利用服務(wù)器操作系統(tǒng)和應(yīng)用服務(wù)軟件存在的高危漏洞，上傳加密勒索軟件或執(zhí)行勒索操作，實(shí)現(xiàn)遠(yuǎn)程攻擊。如何判斷是否中了勒索病毒主機(jī)桌面被篡改主機(jī)感染勒索病毒后，最明顯的特征是電腦桌面發(fā)生明顯變化，即：桌面通常會(huì)出現(xiàn)新的文本文件或網(wǎng)頁(yè)文件，這些文件用來(lái)說(shuō)明如何解密的信息，同時(shí)桌面上顯示勒索提示信息及解密聯(lián)系方式，通常提示信息英文較多，中文提示信息較少。W生一/七件學(xué)區(qū)自*網(wǎng)卜的丁生?珥芷FT上快慶中*H高口？"M?三和KL電可￡1W生一/七件學(xué)區(qū)自*網(wǎng)卜的丁生?珥芷FT上快慶中*H高口？"M?三和KL電可￡1晴 品MH號(hào)匕跖■它也之昨匕我的血睡出「時(shí)￡網(wǎng)融？仃切?訕??總供營(yíng)帔曲江*不?-Lz^t,EtOETaH5曲流?正力打開(kāi)■■工叩口3IM他肝田”內(nèi)行或景用-UT三天號(hào)用我當(dāng)副患- 乜-L—依褊?-TtLHi■內(nèi)也出洋?冷常注.gt"kT-怩〒々了W點(diǎn)田，對(duì)中。上兇町T&E立L-W**56喟戶(hù)氨的第七■I次3?方就K娘小又再好萬(wàn)迂?當(dāng)恭胃百■奈?他我油-遇匕北11的胡丁門(mén)獸寸端庖，井山’肝黑河h工育近鞘*JUE-HSSttPr■也不整壬rru的M怛.日烹n怔，苗師文打? -t-：fi'-r3i.^■_-ifl-r；-'ir-：-- -MOTH?iR電由4?IFQ-ttlfi!**ft*-￡5：A?lEfi*?名，二小|柒那的* M1UB.BJ；用curn??聞Ib?Lmif除期UHdHMFLHl花曲57Tt>MvLvflG2：23：E7：41pji|nwncmLb?raiaiHdanAllyourfilesha*的bran：也門(mén)匚嚴(yán)1?1!Ml產(chǎn)n.■KcwlwpfiMag巾vMrfC■悄Mrieemim 附Wr也修 ET11131M用U3imlKWfWTlaYinnHrhrHl*lhfTMFraleMg*qr^nin*KnT^*prrv*whrian?lBg 才一"改0?Tfru>kri呼點(diǎn)4IIratnrawvidjfanim|l !!J rtkLmiMtiELpI:Ilhfatbw fibUtawMfanufbafflM由mIhAdii■L-sSrUa■diib-iii'h-uixn.IMMwfiMuk.IpfIfc）I4whJufeLiiBtattDI /unni!FjMvmv-YMlfr-n-fri-irt尊年味』.Rf:，Z了門(mén)文件后綴被篡改服務(wù)器感染勒索病毒后，另外一個(gè)典型特征是：辦公文檔、照片、視頻等文件的圖標(biāo)變?yōu)椴豢纱蜷_(kāi)形式，或者文件后綴名被篡改。一般來(lái)說(shuō)，文件后綴名會(huì)被改成勒索病毒家族的名稱(chēng)或其家族代表標(biāo)志，如：GlobeImposter家族的后綴為.dream、.TRUE、.CHAK等；Satan家族的后綴.satan、sicck；Crysis家族的后綴有.ARROW、.arena等。下面為電腦感染勒索病毒后，幾種典型的文件后綴名被篡改或文件圖標(biāo)篡改的示意圖。名稱(chēng) 搟-HWDUDNCO-MANUALtxt 2。網(wǎng)址,txt.hwdudrKXj 2。一專(zhuān)利由謝調(diào)實(shí)務(wù)化學(xué)分冊(cè)pdfhwdud嬴 記五、"**安全產(chǎn)品選擇【云主機(jī)備份】幫助用戶(hù)建立完備的備份恢復(fù)體系安全防護(hù)的核心是確保核心數(shù)據(jù)的可用，只有建立完備的備份機(jī)制才能確保在遭受攻擊時(shí)能夠全身而退。****【云主機(jī)備份】、【云硬盤(pán)備份】服務(wù)可利用多種備份機(jī)制和策略周期性的幫助客戶(hù)進(jìn)行備份。為應(yīng)對(duì)勒索病毒的發(fā)生打好基礎(chǔ)。如希望進(jìn)一步了解****存儲(chǔ)服務(wù)可以參見(jiàn)如下鏈接：/op-help-center/show/3?！緫B(tài)勢(shì)感知】建立全局威脅情報(bào)感知能力有效的識(shí)別和監(jiān)測(cè)是安全防護(hù)的關(guān)鍵。****【態(tài)勢(shì)感知平臺(tái)】通過(guò)采集系統(tǒng)的網(wǎng)絡(luò)安全數(shù)據(jù)信息，幫助用戶(hù)對(duì)所有安全數(shù)據(jù)進(jìn)行統(tǒng)一處理分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊行為、安全威脅事件、日志、流量等網(wǎng)絡(luò)安全問(wèn)題的發(fā)現(xiàn)和告警，形成安全可監(jiān)控、攻擊可防護(hù)、威脅可感知、事件可控制的安全閉環(huán)。如希望進(jìn)一步了解****態(tài)勢(shì)感知服務(wù)可以參見(jiàn)如下鏈接：/product-introduction/awareness。【云安全中心】【增強(qiáng)漏洞掃描】雙拳出擊提供全面檢測(cè)與防護(hù)配置全面的安全檢測(cè)和防護(hù)策略，不僅能有效防御勒索病毒，還能減少其他入侵行為導(dǎo)致的安全隱患。用戶(hù)可以通過(guò)購(gòu)買(mǎi)****【云安全中心】和【增強(qiáng)漏洞掃描】，為云主機(jī)提供強(qiáng)大的監(jiān)測(cè)檢查能力，實(shí)時(shí)發(fā)現(xiàn)用戶(hù)云主機(jī)存在的安全問(wèn)題，全面保障云主機(jī)安全。如希望進(jìn)一步了解****云安全中心和漏掃產(chǎn)品可以參見(jiàn)如下鏈接/op-help-center/doc/category/1073;/op-help-center/doc/category/756?！驹鰪?qiáng)漏洞掃描】讓W(xué)eb防護(hù)更放心更安心Web服務(wù)會(huì)存在各種各樣的漏洞，攻擊者會(huì)利用Web漏洞上傳勒索病毒，對(duì)用戶(hù)資產(chǎn)造成破壞。****【增強(qiáng)漏洞掃描】可以快速評(píng)估網(wǎng)站（群），幫助用戶(hù)及時(shí)發(fā)現(xiàn)網(wǎng)站的風(fēng)險(xiǎn)隱患，指導(dǎo)用戶(hù)及時(shí)修復(fù)漏洞。如果用戶(hù)的Web站點(diǎn)同時(shí)配置【W(wǎng)eb應(yīng)用防護(hù)】月服務(wù)，便可以對(duì)Web流量進(jìn)行解碼和分析，有效應(yīng)對(duì)SQL注入、XSS注入、CSRF等一系列Web攻擊。如希望進(jìn)一步了解****Web漏掃服務(wù)可以參見(jiàn)如下鏈接/op-help-center/show/1101。六、勒索病毒的預(yù)防減少威脅事件的發(fā)生，降低勒索病毒感耨勺概率，我們建議采取以下措施進(jìn)行預(yù)防：1、周期性的進(jìn)行數(shù)據(jù)備份（按天增量、按周/月全量），并做好多副本異地存儲(chǔ)（按月/季度）；2、搭建具有容災(zāi)能力的架構(gòu)，發(fā)生問(wèn)題可以切換至備份系統(tǒng)保障系統(tǒng)連續(xù)性；3、建立代碼安全審查機(jī)制，開(kāi)發(fā)流程中執(zhí)行黑盒白盒測(cè)試，減少代碼漏洞；4、分隔網(wǎng)絡(luò)區(qū)域，云主機(jī)之間通過(guò)設(shè)置安全組或者防火墻禁用非必要和不安全的流量；5、周期性檢查并更新云主機(jī)操作系統(tǒng)的補(bǔ)丁以及應(yīng)用軟件的補(bǔ)丁；6、對(duì)云主機(jī)進(jìn)行安全加固，關(guān)閉135、137、138、139、445以及不必要的服務(wù)端口。主機(jī)上運(yùn)行服務(wù)的默認(rèn)端口號(hào)更改至非周知端口；7、云主機(jī)上安裝專(zhuān)業(yè)殺毒軟件并將病毒庫(kù)更新至最新；8、云主機(jī)禁用多余賬號(hào)并且賬號(hào)使用強(qiáng)度高切更為復(fù)雜的口令；9、云主機(jī)禁止使用root或者administrator直接登錄系統(tǒng)；10、定期對(duì)系統(tǒng)進(jìn)行漏洞掃描和滲透測(cè)試，及時(shí)發(fā)現(xiàn)問(wèn)題并進(jìn)行解決。七、應(yīng)急處置措施一旦遭受了勒索病毒的感染，我們需要采取一些列的手段將影響和威脅降低至最低，遭遇勒索病毒感染后最直接的辦法就是把中毒的機(jī)器進(jìn)行斷網(wǎng)隔離，然后等待專(zhuān)業(yè)的安全服務(wù)人員上門(mén)進(jìn)行處理，下面列舉了一套勒索病毒應(yīng)急處置方法：斷網(wǎng)或關(guān)機(jī)處理，防止勒索病毒內(nèi)網(wǎng)傳播感染，造成更大的損失；恢復(fù)業(yè)務(wù)：斷網(wǎng)后，可通過(guò)備份恢復(fù)業(yè)務(wù)；排查業(yè)務(wù)系統(tǒng)：在已經(jīng)隔離被感染主機(jī)后，應(yīng)對(duì)其他主機(jī)進(jìn)行排查，檢查核心業(yè)務(wù)系統(tǒng)是否受到影響，并檢查備份系統(tǒng)是否被加密等，以確定感染的范圍；修改未感染主機(jī)的密碼并及時(shí)更新補(bǔ)丁，防止進(jìn)一