“假勒索”?真攻击! 一文支招教你如何判断是否感染勒索病毒及应急响应 - 知乎
“假勒索”?真攻击! 一文支招教你如何判断是否感染勒索病毒及应急响应 - 知乎切换模式写文章登录/注册“假勒索”?真攻击! 一文支招教你如何判断是否感染勒索病毒及应急响应融安网络工控安全技术领军企业8月11日晚间,就“美的受黑客攻击并被勒索千万美元”的传闻,美的集团在微博上发文回应称:“2022年8月11日,美的集团遭受新型网络病毒攻击,少数员工电脑受到感染,公司各业务系统未受影响,经营正常进行,也没有收到勒索信息。”不过,事发当晚,在招聘软件上却发现美的连夜“高薪”招聘信息安全技术专家,仍引发了网上不少议论猜测的声音。截图来源:美的集团官方微博近年来,勒索病毒肆虐全球,影响波及了众多行业和机构,全球各地的关键基础设施正面临着前所未有的严峻考验,工厂停摆、数据泄露等等事故的发展甚至影响着国家的正常运作,已经成为最受关注的网络安全问题之一。2022年上半年发生的影响或损失重大的勒索事件,如2月23日,英伟达(Nvidia)遭Lapsus$组织攻击,涉及1TB机密数据泄露;3月1日,丰田汽车供应商遭勒索攻击,14家本土工厂暂时关闭,28条生产线停工一天等事件发生。判断是否感染勒索病毒的几大特征?众所周知,勒索病毒的主要目的是为了勒索,那么黑客在植入病毒完成加密后,必然会提示受害者您的文件已经被加密了无法再打开,对受害者实施勒索,从中非法谋取私利,唯有支付赎金才能恢复文件。所以,勒索病毒区别于其他一般病毒有明显的特征。因此,可以通过以下特征来判断是否感染勒索病毒。1、电脑桌面出现勒索信息文件主机被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式。2、文件后缀被篡改主机感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件后缀名被篡改。一般来说,文件后缀名会被改成勒索病毒家族的名称或其家族代表标志,如:GlobeImposter家族的后缀为.dream、.TRUE、.CHAK等;Satan家族的后缀.satan、sicck;Crysis家族的后缀有.ARROW、.arena等。3、业务系统无法访问2018年以来,勒索病毒的攻击不再局限于加密核心业务文件;转而对企业的主机和业务系统进行攻击,感染企业的关键系统,破坏企业的日常运营;甚至还延伸至生产线——生产线不可避免地存在一些遗留系统和各种硬件难以升级打补丁等原因,一旦遭到勒索攻击的直接后果就是生产线停产。感染勒索后的截图:解密后的截图:那么,勒索病毒来袭,如何做好应急响应?面对愈演愈烈的勒索病毒,我们应该如何应对?虽然无法完全杜绝勒索病毒,但我们可以做好有效的安全防范措施,及时发现并阻断威胁,定期做好数据备份,保护数据资产安全。第一、断网隔离当确认已被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段。物理隔离主要常用操作方法为断网和关机,防止勒索病毒在内网进一步传播感染,避免组织造成二次损失最直接的方式,待应急结束,加固完成后,再放通网络。访问控制就是进一步关闭445、139、135等不必要的端口,尤其RDP端口,并在网络侧使用安全设备进一步隔离,如防火墙、终端安全卫士等设备,设置IP白名单规则,配置高级安全Windows防火墙,设置远程桌面连接的入站规则,将使用的IP地址或IP地址范围加入规则中,阻止规则外IP进行暴力破解;第二、安全排查业务系统使用病毒查杀工具进行病毒全盘扫描,找到病毒文件进行隔离查杀处置。如主机核心系统文件被加密,则进行系统重装;开启关键日志收集功能(安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对勒索软件的发现与追踪溯源。融安网络检测系统以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁。第三、加固防范及时对操作系统、设备、以及软件进行打补丁和更新,对系统进行渗透测试及安全加固;建立安全灾备预案,确保备份业务系统可以快速启用。第四、联系技术人员或者安全从业者在应急自救处置后,建议第一时间联系专业的技术人士或者安全从业者,对事件的感染时间、传播方式、感染家族等问题进行排查。融安网络安全服务团队可提供7*24小时安全值守、应急响应和安全服务支撑保障工作,为客户的业务保驾护航。发布于 2022-08-16 09:17黑客 (Hacker)勒索病毒赞同 1添加评论分享喜欢收藏申请
勒索病毒真的无解?手把手教你对付勒索病毒 - 知乎
勒索病毒真的无解?手把手教你对付勒索病毒 - 知乎切换模式写文章登录/注册勒索病毒真的无解?手把手教你对付勒索病毒太平洋科技软件频道最近几年一种以敲诈用户钱财为目的病毒流行起来,用户电脑中误中这种病毒后,该类病毒会自动的加密用户在电脑硬盘中的各类文件,并且显示勒索信息,让受害者交付赎金才能解密找回文件,这对于电脑中存储有重要资料的用户来说,简直就是噩梦。那么勒索病毒危害如何?咱就来实测一下看看它的恐怖为例!如何防范此类病毒,咱也来探讨一下!如何解密被这类病毒加密的文件,咱也来唠叨唠叨!图1 勒索病毒对用户资料文件是个灾难(图片来源Kaspersky)什么是勒索病毒勒索病毒是一种目前流行的病毒,通过网络等多种途径传播,受害者电脑感染该病毒后后,病毒将自动加密受害者电脑里的多种常见文件,使得受害者的重要资料文件无法正常使用,或者是锁住用户电脑,并以此为条件向用户勒索钱财。被恶意加密的文件类型包括了文档、邮件、数据库、源代码、图片、视频、key文件和压缩文件等多种文件。黑客们勒索的赎金形式包括真实货币、比特币或其它虚拟货币。一般来说,勒索软件作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨。特殊情况下即使用户支付了赎金,最终也还是无法还原被加密的文件。勒索病毒在真假方面可以分为两类,一类为真实加密一类为虚假加密。采用真实加密的勒索病毒由于采用了高强度加密方式,没有病毒作者手中的密钥,就无法进行文件的解密操作,受害者不得不为此而交付赎金。而有些则因为无法联系到病毒作者或者病毒加密文件时出错,进而导致了文件无法解密,用户资料文件因此被锁,损失惨重。而采用虚假加密的勒索病毒只是简单地将用户的文件进行了隐藏甚至只是改了后缀名,稍微懂电脑技术的都可以把文件重新找回来。勒索病毒实测 恐怖的全盘文件加密为了让大家更好的了解勒索病毒,让我们先来用虚拟机测试一下勒索病毒,看看它的恐怖威力。为了方便测试,本次测试Windows环境采用了Windows 7系统,没有安装任何的杀毒软件。笔者先在虚拟机硬盘分区的PConline文件夹中准备了多种常见文件类型的文件,包含了文本文档及微软office系列文档、常见媒体文件格式文档、常见图片格式文档、常见压缩格式文档,具体测试文件请看下图。图2 测试文件列表接下来,运行勒索病毒,静候片刻后,Windows桌面背景已经被病毒修改为勒索信背景图片。这个时候再进入PConline件夹中查看测试文件,PConline文件夹中的参与测试文件都已经被病毒进行加密操作,并修改后缀名为WNCRY。图4 常用文件格式全军覆没然后还有个勒索说明弹窗,这个弹窗还“贴心”的准备了多国语言。图5 勒索说明弹窗造成的危害:由于勒索病毒大多都都是全盘扫描并加密用户电脑中的常见文件格式文件。诸如用户保存到电脑中的照片、视频等具有纪念价值的文件被加密,工作事业文件被加密严重影响工作甚至导致工作停摆。于是便有了不少受害者上网求助。“十几年的照片被恶意加密,跪求破解”。“多年研究资料被加密,研究成果毁于一旦”。由于勒索病毒大多数采用了比特币支付方式,并且有些勒索病毒的支付页面已经无法打开或者需要采用非常方式打开,导致用户即使想要支付赎金都无从支付。甚至有些勒索病毒所加密的文件在用户支付赎金后依然无法进行解密操作。需要提醒受害者的是,如果你的重要资料文件被勒索病毒所加密,请勿重装操作系统或者清除病毒,重装操作和清除病毒操作将可能导致一些解密所需数据丢失,进而交了赎金后也可能无法进行文件解密。勒索病毒能自行解密么 安全厂商联合推出解密网站上边说了,多数勒索病毒都采用了高强度加密算法进行加密,如RSA加密,这类加密算法具有极高的安全性,除非拿到密钥,否则几乎无法解密(大多数敲诈者木马,目前都采用了比较规范的非对称结合对称的加密手段,这直接导致了在没有拿到黑客手中的私钥的前提下,解密文件几乎不可能。)。也就是说,如果受害者不接受黑客的勒索条件,则电脑上的几乎所有重要数据都将无法找回,给受害者带来巨大的损失。提供100+勒索病毒解密工具正由于勒索病毒给受害者带来了严重的损失,所以勒索病毒也成为了各大计算机安全厂商重点关注对象。这不,为了对付勒索病毒,荷兰国家警察高科技犯罪单位、欧洲刑警欧洲网络犯罪中心,以及卡巴斯基实验室和英特尔安全,一起做了专门针对勒索病毒的网站-——No more ransom(拒绝勒索软件)。No more ransom:https://www.nomoreransom.org/zh/index.html“拒绝勒索软件”网站是一项由荷兰国家警察高科技犯罪单位、欧洲刑警组织下属欧洲网络犯罪中心, 卡巴斯基实验室 和英特尔公司(英特尔安全)网络保安全公司所推动的计划,旨在帮助勒索软件的受害者重新取回其加密数据,而无需支付赎金。No more ransom收录了超过100种已知的勒索病毒,并且针对这些勒索病毒做了专门的解密工具。如果不幸中招的用户,可以尝试使用该网站里的“解码刑警”工具来识别所中的是何种勒索病毒,并且查询是否有解密工具。只需要上传一个小于1M的被恶意加密的文件到解码刑警页面,稍等片刻该网站就会给用户提供究竟是中了何种病毒以及病毒信息,并且给出了解决方案。(如果你已经知道是何种勒索病毒,可以直接在“解密工具”页面查找解密工具)可是也别抱太大的希望,就像小编测试的这种勒索病毒,虽然已经老旧,但是在No more ransom还没找到解密方案。图6 上传文件到解码刑警图7 获得结果图8 解密工具页面在的解密工具页面提供了100+勒索病毒的加密工具,这里有着多家安全软件厂商提供的针对性勒索病毒解密工具,有解密工具的直接下载地址与使用指南,切记先看指南再用工具。图9 有下载地址与解密指南360在线查询与解密网站国内知名安全软件360页推出了一个专门的勒索病毒查询与在线解密网站。360勒索病毒解密:https://lesuobingdu.360.cn/在这里,用户同样可以通过上传被加密文件的方式来查询是中了哪种勒索病毒,并可以尝试解密。图10 上传被加密文件获得结果勒索病毒可以防范么 做足措施防范损失防范措施一:最重要的是定期异地备份硬盘有价,数据无价。和以前不同,现在有许多人都习惯了把重要资料保存在电脑中,方便查看与修改。可是许多人却忘记了硬盘会坏,电脑可能被盗,文档可能被误删除,系统可能会被感染病毒,甚至到了目前的文档可能会被敲诈类病毒加密的地步。因为这些原因而导致重要资料丢失的新闻并不鲜见,有个教授甚至因此而丢失了几十年的科研记录。所以养成定期的文档备份习惯是必须的事情。现在有许多自动同步软件,可以帮助你自动进行文档的本地及局域网、FTP备份。而笔者建议的是,至少要用一个移动存储器(如U盘、移动硬盘)来对重要资料进行异地备份。也就是说,备份存储器不要时刻与电脑进行连接。只在需要备份时进行连接。为的就是防范备份文件在系统中毒后也会遭到感染,所以强调“异地”备份。对于这个用户备份的移动存储器里边的备份文件保密问题,你可以采用Windows BitLocker功能相对该移动存储器进行加密操作,不过千万不要忘记密码。图11 FileGee同步备份软件而且还有许多的网盘客户端软件,也可以帮助你把指定的文档定期的备份到网盘存储空间去。部分网盘还支持多版本文件功能,更是可以帮你找回文件的旧版本。图12 百度网盘的文件夹备份功能防范措施二 安装一款靠谱的杀毒软件别相信什么裸奔电脑的情况,杀毒软件无用论,至少,目前勒索病毒已经被各个安全软件公司所关注,当然相应的各个知名杀毒软件也能够查杀该类病毒及其一些变种,所以安装一款靠谱的杀毒软件还是非常有必要的,还有,记得要升级所安装的杀毒软件病毒库到最新版本。图13 靠谱的杀毒软件还是有作用的只是,勒索病毒或许还在更新,并且会形成更多的变种以逃避杀毒软件的查杀,所以有了杀毒软件也不能掉以轻心。还有需要注意的是,如果系统真的中了勒索者病毒,并且重要文档被加密的话,千方不要先查杀该病毒,因为某些勒索病毒采用了将用户文件加密并植入病毒的方式,如果你查杀了病毒,也就同步删除了被加密的文件。重要的是,先恢复被感染的文档再进行病毒查杀操作。总结近几年病毒木马似乎变得少了,于是现在的网友们就没有了以前那必装杀毒软件,甚至还要装上几个杀毒软件那种警惕性了。其实各种盗号木马还是层出不穷,各种病毒还在不少用户电脑中潜伏着肆意破坏着。作为普通用户,咱还需多加防范,对于重要资料文件,咱的备份操作少不得,安全第一!发布于 2022-08-20 12:30勒索病毒赞同 31 条评论分享喜欢收藏申请
什么是勒索病毒? - 知乎
什么是勒索病毒? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册勒索病毒Wana Decrypt0r 2.0(计算机病毒)什么是勒索病毒?勒索病毒的症状是什么显示全部 关注者6被浏览5,857关注问题写回答邀请回答好问题添加评论分享7 个回答默认排序全云在线cloudallonline已认证账号 关注文章来源:全云在线 一、什么是勒索病毒?勒索病毒(Ransomware)是一种非法的软件,它能够将用户的数据加密,要求支付赎金来解密。它通常会在用户打开恶意邮件或文件时被下载到计算机上。一旦开始运行,它会立即开始加密用户的文件,并要求用户付费才能解密文件。预防勒索病毒勒索病毒可以使用多种方式来进行传播,包括通过电子邮件,文件共享,社交网络和聊天客户端等。勒索病毒也可以通过网络钓鱼来传播,这种攻击方式会欺骗用户点击一个恶意链接或下载一个恶意文件,从而感染计算机。勒索病毒也可以通过暴力攻击技术来传播,这种攻击技术通常使用暴力破解工具来猜测用户的密码,一旦猜测成功,就可以访问用户的系统并且安装勒索病毒。勒索病毒的目的是要求用户支付赎金以解密文件,但是用户支付赎金也不一定能够解密文件。因此,用户应该采取措施预防勒索病毒的传播,例如安装杀毒软件,定期备份数据,不要点击未知来源的链接,不要打开未知的文件等。二、数据库中了勒索病毒怎么办?勒索病毒是一种新型的计算机病毒,它会给电脑系统带来极大的损害。一旦感染了这种病毒,电脑系统中的重要数据就会被加密,并且被病毒的发送者要求缴纳赎金,以解密数据。当发现数据库中被勒索病毒感染时,首先要采取的措施是把数据库服务器完全断开网络连接,以防止病毒感染其他服务器。其次,要立即备份数据库中的所有数据,以防止因数据丢失而无法恢复。再次,应尽快找到病毒的根源并确定特征,以便采取有效的措施来清除它。清除勒索病毒的最佳方法是使用专业的反病毒软件,如McAfee或Norton等。这些软件可以扫描数据库,并对发现的病毒进行杀毒。此外,可以使用一些安全工具,例如系统安全扫描器,查找系统中的潜在漏洞,并及时修复。另外,要加强安全防护措施,并建立定期的备份机制,以防止发生勒索病毒感染的情况。建议定期备份数据,并将备份数据存放在安全的服务器上,或者在外部设备上。同时,还要定期更新系统的安全补丁,以及安装安全软件以防止恶意程序的入侵。总之,当数据库中发现被勒索病毒感染时,要立即采取相应的措施,以避免更大的损失。应采取措施把病毒清除,并加强安全措施,以预防类似的情况发生。三、勒索病毒防护解决方案:针对以上事前、事中、事后三个难题,其实勒索病毒防护+保险解决方案就能从这三方面为客户提供勒索防治及保险服务。勒索病毒防护+保险解决方案,产品保障、服务贯穿、保险兜底,最大化避免勒索风险,让勒索病毒来了都要说:溜了溜了!发布于 2023-01-11 17:25赞同 1添加评论分享收藏喜欢收起数据恢复中心团队 预控 技术 风险 关注什么是.halo勒索病毒?在2023年初,一种新的勒索病毒开始在网络上传播,它的名字叫做.halo勒索病毒。这种病毒属于BeijngCrypt勒索病毒家族,它会通过远程桌面爆破、数据库端口攻击、垃圾邮件等方式入侵目标设备,然后加密设备上的文件,并在文件名后添加.halo扩展名。如果您不幸感染了这种病毒,您应该如何应对呢?数据还有没有可能恢复呢?本文将为您介绍一些相关的知识和建议。技术咨询(JF_010101) .halo勒索病毒是一种恶意软件,它会加密用户的文件并要求用户支付赎金才能解密文件。勒索病毒通常通过 电子邮件、恶意软件下载、漏洞利用和恶意广告等方式传播。当用户打开了一个包含勒索病毒的文件时,勒索病毒 会开始加密用户的文件,并在加密完成后显示一个勒索信息,要求用户支付一定数量的加密货币才能恢复文件。 如何感染的? .halo勒索病毒是通过多种方式传播感染的,其中最常见的有以下几种:-远程桌面口令爆破:黑客利用弱口令或者暴力破解的方式,尝试登录目标设备的远程桌面服务,一旦成功登录,就可以释放并执行勒索病毒。因此,建议您关闭不必要的远程桌面服务,或者使用强口令和多重认证来保护远程桌面服务。-数据库弱口令攻击:黑客利用弱口令或者暴力破解的方式,尝试登录目标设备的数据库服务,一旦成功登录,就可以释放并执行勒索病毒。因此,建议您使用复杂且无规律的密码来保护数据库服务,并定期更换密码。-垃圾邮件附件或链接:黑客通过发送伪装成正常邮件的垃圾邮件,诱骗用户打开附件或点击链接,从而感染勒索病毒。因此,建议您不要轻信来自陌生人或可疑来源的邮件,不要随意打开附件或点击链接,尤其是那些要求输入个人信息或下载软件的邮件。-恶意软件下载或更新:黑客通过在一些不安全的网站或下载平台上植入恶意软件,诱骗用户下载或更新软件,从而感染勒索病毒。因此,建议您只从官方或可信赖的网站或平台上下载或更新软件,并使用杀毒软件扫描下载或更新前后的文件。-网络漏洞利用:黑客利用目标设备上存在的网络漏洞,如Web应用漏洞、操作系统漏洞等,进行远程攻击,从而感染勒索病毒。因此,建议您及时更新您的Web应用、操作系统和其他软件,并修复已知的漏洞。感染后如何处理?断网连接:将感染病毒的设备断开互联网连接,以防止病毒继续传播或与攻击者通信。恢复数据:如果您有最新的数据备份,您可以使用备份数据恢复您的文件。寻求专业帮助:可寻求专业数据恢复公司的帮助,千万不要擅自进行文件后缀修改或者使用各种数据恢复软件进行操作,这将会二次破坏文件内容,可能导致后期数据无法恢复。如果受感染的数据确实有恢复的价值与必要性,可联系我们进行免费排查获取数据恢复的相关帮助。安全防御建议预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。⑦ 尽量关闭不必要的文件共享。⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。技术咨询(JF_010101)发布于 2023-06-26 14:37赞同添加评论分享收藏喜欢
勒索病毒真的无解?手把手教你对付勒索病毒 - 知乎
勒索病毒真的无解?手把手教你对付勒索病毒 - 知乎切换模式写文章登录/注册勒索病毒真的无解?手把手教你对付勒索病毒太平洋科技软件频道最近几年一种以敲诈用户钱财为目的病毒流行起来,用户电脑中误中这种病毒后,该类病毒会自动的加密用户在电脑硬盘中的各类文件,并且显示勒索信息,让受害者交付赎金才能解密找回文件,这对于电脑中存储有重要资料的用户来说,简直就是噩梦。那么勒索病毒危害如何?咱就来实测一下看看它的恐怖为例!如何防范此类病毒,咱也来探讨一下!如何解密被这类病毒加密的文件,咱也来唠叨唠叨!图1 勒索病毒对用户资料文件是个灾难(图片来源Kaspersky)什么是勒索病毒勒索病毒是一种目前流行的病毒,通过网络等多种途径传播,受害者电脑感染该病毒后后,病毒将自动加密受害者电脑里的多种常见文件,使得受害者的重要资料文件无法正常使用,或者是锁住用户电脑,并以此为条件向用户勒索钱财。被恶意加密的文件类型包括了文档、邮件、数据库、源代码、图片、视频、key文件和压缩文件等多种文件。黑客们勒索的赎金形式包括真实货币、比特币或其它虚拟货币。一般来说,勒索软件作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨。特殊情况下即使用户支付了赎金,最终也还是无法还原被加密的文件。勒索病毒在真假方面可以分为两类,一类为真实加密一类为虚假加密。采用真实加密的勒索病毒由于采用了高强度加密方式,没有病毒作者手中的密钥,就无法进行文件的解密操作,受害者不得不为此而交付赎金。而有些则因为无法联系到病毒作者或者病毒加密文件时出错,进而导致了文件无法解密,用户资料文件因此被锁,损失惨重。而采用虚假加密的勒索病毒只是简单地将用户的文件进行了隐藏甚至只是改了后缀名,稍微懂电脑技术的都可以把文件重新找回来。勒索病毒实测 恐怖的全盘文件加密为了让大家更好的了解勒索病毒,让我们先来用虚拟机测试一下勒索病毒,看看它的恐怖威力。为了方便测试,本次测试Windows环境采用了Windows 7系统,没有安装任何的杀毒软件。笔者先在虚拟机硬盘分区的PConline文件夹中准备了多种常见文件类型的文件,包含了文本文档及微软office系列文档、常见媒体文件格式文档、常见图片格式文档、常见压缩格式文档,具体测试文件请看下图。图2 测试文件列表接下来,运行勒索病毒,静候片刻后,Windows桌面背景已经被病毒修改为勒索信背景图片。这个时候再进入PConline件夹中查看测试文件,PConline文件夹中的参与测试文件都已经被病毒进行加密操作,并修改后缀名为WNCRY。图4 常用文件格式全军覆没然后还有个勒索说明弹窗,这个弹窗还“贴心”的准备了多国语言。图5 勒索说明弹窗造成的危害:由于勒索病毒大多都都是全盘扫描并加密用户电脑中的常见文件格式文件。诸如用户保存到电脑中的照片、视频等具有纪念价值的文件被加密,工作事业文件被加密严重影响工作甚至导致工作停摆。于是便有了不少受害者上网求助。“十几年的照片被恶意加密,跪求破解”。“多年研究资料被加密,研究成果毁于一旦”。由于勒索病毒大多数采用了比特币支付方式,并且有些勒索病毒的支付页面已经无法打开或者需要采用非常方式打开,导致用户即使想要支付赎金都无从支付。甚至有些勒索病毒所加密的文件在用户支付赎金后依然无法进行解密操作。需要提醒受害者的是,如果你的重要资料文件被勒索病毒所加密,请勿重装操作系统或者清除病毒,重装操作和清除病毒操作将可能导致一些解密所需数据丢失,进而交了赎金后也可能无法进行文件解密。勒索病毒能自行解密么 安全厂商联合推出解密网站上边说了,多数勒索病毒都采用了高强度加密算法进行加密,如RSA加密,这类加密算法具有极高的安全性,除非拿到密钥,否则几乎无法解密(大多数敲诈者木马,目前都采用了比较规范的非对称结合对称的加密手段,这直接导致了在没有拿到黑客手中的私钥的前提下,解密文件几乎不可能。)。也就是说,如果受害者不接受黑客的勒索条件,则电脑上的几乎所有重要数据都将无法找回,给受害者带来巨大的损失。提供100+勒索病毒解密工具正由于勒索病毒给受害者带来了严重的损失,所以勒索病毒也成为了各大计算机安全厂商重点关注对象。这不,为了对付勒索病毒,荷兰国家警察高科技犯罪单位、欧洲刑警欧洲网络犯罪中心,以及卡巴斯基实验室和英特尔安全,一起做了专门针对勒索病毒的网站-——No more ransom(拒绝勒索软件)。No more ransom:https://www.nomoreransom.org/zh/index.html“拒绝勒索软件”网站是一项由荷兰国家警察高科技犯罪单位、欧洲刑警组织下属欧洲网络犯罪中心, 卡巴斯基实验室 和英特尔公司(英特尔安全)网络保安全公司所推动的计划,旨在帮助勒索软件的受害者重新取回其加密数据,而无需支付赎金。No more ransom收录了超过100种已知的勒索病毒,并且针对这些勒索病毒做了专门的解密工具。如果不幸中招的用户,可以尝试使用该网站里的“解码刑警”工具来识别所中的是何种勒索病毒,并且查询是否有解密工具。只需要上传一个小于1M的被恶意加密的文件到解码刑警页面,稍等片刻该网站就会给用户提供究竟是中了何种病毒以及病毒信息,并且给出了解决方案。(如果你已经知道是何种勒索病毒,可以直接在“解密工具”页面查找解密工具)可是也别抱太大的希望,就像小编测试的这种勒索病毒,虽然已经老旧,但是在No more ransom还没找到解密方案。图6 上传文件到解码刑警图7 获得结果图8 解密工具页面在的解密工具页面提供了100+勒索病毒的加密工具,这里有着多家安全软件厂商提供的针对性勒索病毒解密工具,有解密工具的直接下载地址与使用指南,切记先看指南再用工具。图9 有下载地址与解密指南360在线查询与解密网站国内知名安全软件360页推出了一个专门的勒索病毒查询与在线解密网站。360勒索病毒解密:https://lesuobingdu.360.cn/在这里,用户同样可以通过上传被加密文件的方式来查询是中了哪种勒索病毒,并可以尝试解密。图10 上传被加密文件获得结果勒索病毒可以防范么 做足措施防范损失防范措施一:最重要的是定期异地备份硬盘有价,数据无价。和以前不同,现在有许多人都习惯了把重要资料保存在电脑中,方便查看与修改。可是许多人却忘记了硬盘会坏,电脑可能被盗,文档可能被误删除,系统可能会被感染病毒,甚至到了目前的文档可能会被敲诈类病毒加密的地步。因为这些原因而导致重要资料丢失的新闻并不鲜见,有个教授甚至因此而丢失了几十年的科研记录。所以养成定期的文档备份习惯是必须的事情。现在有许多自动同步软件,可以帮助你自动进行文档的本地及局域网、FTP备份。而笔者建议的是,至少要用一个移动存储器(如U盘、移动硬盘)来对重要资料进行异地备份。也就是说,备份存储器不要时刻与电脑进行连接。只在需要备份时进行连接。为的就是防范备份文件在系统中毒后也会遭到感染,所以强调“异地”备份。对于这个用户备份的移动存储器里边的备份文件保密问题,你可以采用Windows BitLocker功能相对该移动存储器进行加密操作,不过千万不要忘记密码。图11 FileGee同步备份软件而且还有许多的网盘客户端软件,也可以帮助你把指定的文档定期的备份到网盘存储空间去。部分网盘还支持多版本文件功能,更是可以帮你找回文件的旧版本。图12 百度网盘的文件夹备份功能防范措施二 安装一款靠谱的杀毒软件别相信什么裸奔电脑的情况,杀毒软件无用论,至少,目前勒索病毒已经被各个安全软件公司所关注,当然相应的各个知名杀毒软件也能够查杀该类病毒及其一些变种,所以安装一款靠谱的杀毒软件还是非常有必要的,还有,记得要升级所安装的杀毒软件病毒库到最新版本。图13 靠谱的杀毒软件还是有作用的只是,勒索病毒或许还在更新,并且会形成更多的变种以逃避杀毒软件的查杀,所以有了杀毒软件也不能掉以轻心。还有需要注意的是,如果系统真的中了勒索者病毒,并且重要文档被加密的话,千方不要先查杀该病毒,因为某些勒索病毒采用了将用户文件加密并植入病毒的方式,如果你查杀了病毒,也就同步删除了被加密的文件。重要的是,先恢复被感染的文档再进行病毒查杀操作。总结近几年病毒木马似乎变得少了,于是现在的网友们就没有了以前那必装杀毒软件,甚至还要装上几个杀毒软件那种警惕性了。其实各种盗号木马还是层出不穷,各种病毒还在不少用户电脑中潜伏着肆意破坏着。作为普通用户,咱还需多加防范,对于重要资料文件,咱的备份操作少不得,安全第一!发布于 2022-08-20 12:30勒索病毒赞同 31 条评论分享喜欢收藏申请
一文读懂勒索攻击:特征、趋势与挑战_腾讯新闻
一文读懂勒索攻击:特征、趋势与挑战_腾讯新闻
一文读懂勒索攻击:特征、趋势与挑战
作者
翟尤腾讯研究院产业安全中心主任、高级研究员
1989年,哈佛大学学生约瑟夫·L·波普制作了全球首个勒索病毒—AIDS木马,这位哈佛高材生将勒索病毒隐藏在软盘中并分发给国际卫生组织艾滋病大会的参会者。此款勒索病毒会记录用户设备重启次数,一旦超过90次就会对电脑中的文件进行加密,并要求邮寄189美元才能解密重新访问系统。虽然“名牌大学生恶作剧+邮寄支付赎金”的标签在今天看来既没有多大危害,也不够专业,但勒索病毒发起的对经济社会的攻击,在此后的30多年中逐渐演变为让人闻之色变的网络攻击浪潮。
勒索攻击从恶作剧向
专业组织化网络攻击演变
勒索攻击又称为“赎金木马”,是指网络攻击者通过对目标数据强行加密,导致企业核心业务停摆,以此要挟受害者支付赎金进行解密。如同我们把钱放在保险箱,小偷没有撬开保险箱偷钱,反而把放保险箱的房间加了把锁。如果没有房间的钥匙,我们依然拿不到保险箱里的钱。勒索攻击发展历程并不长,在30多年的发展过程中,主要经历三个阶段:1989至2009年是勒索攻击的萌芽期,在这20年中,勒索攻击处于起步阶段,勒索攻击软件数量增长较为缓慢,且攻击力度小、危害程度低。2006年我国首次出现勒索攻击软件。2010年以后,勒索软件进入活跃期,几乎每年都有变种出现,其攻击范围不断扩大、攻击手段持续翻新。2013年以来,越来越多的攻击者要求以比特币形式支付赎金;2014年出现了第一个真正意义上针对Android平台的勒索攻击软件,标志着攻击者的注意力开始向移动互联网和智能终端转移。勒索攻击在2015年后进入高发期,2017年WannaCry勒索攻击在全球范围内大规模爆发,至少150个国家、30万名用户受害,共计造成超过80亿美元的损失,至此勒索攻击正式走入大众视野并引发全球关注。
勒索攻击典型特征与案例
近年来勒索攻击席卷全球,几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受到影响,可以说有互联网的地方就可能存在勒索攻击。2021年5月,美国17个州能源系统受到勒索攻击,导致美国最大的燃料管道运营商Colonial关闭约8851公里的运输管道,犯罪分子在短时间内获取了100G数据,并锁定相关服务器等设备数据,要求支付75个比特币作为赎金(相当于440万美元)。勒索攻击已经成为未来一段时期网络安全的主要威胁。总的来看,勒索攻击有4个显著特征:
(一) 隐蔽性强且危害显著
勒索攻击善于利用各种伪装达到入侵目的,常见的传播手段有借助垃圾邮件、网页广告、系统漏洞、U盘等。隐蔽性是勒索攻击的典型攻击策略。在入口选择上,攻击者以代码仓库为感染位置对源代码发动攻击;在上线选择上,宁可放弃大量的机会也不愿在非安全环境上线;在编码上,高度仿照目标公司的编码方式和命名规范以绕过复杂的测试、交叉审核、校验等环节。此外,攻击者往往在发动正式攻击之前就已控制代码仓库,间隔几个月甚至更长时间才引入第一个恶意软件版本,其潜伏时间之长再一次印证了勒索攻击的高隐蔽性。
调查发现,某些勒索攻击事件的制造者利用尚未被发现的网络攻击策略、技术和程序,不仅可以将后门偷偷嵌入代码中,而且可以与被感染系统通信而不被发现。这些策略、技术和程序隐藏极深且很难完全从受感染网络中删除,为攻击活动细节的调查取证和后续的清除工作带来巨大的挑战。此外,勒索攻击一般具有明确的攻击目标和强烈的勒索目的,勒索目的由获取钱财转向窃取商业数据和政治机密,危害性日益增强。
(二) 变异较快且易传播
目前活跃在市面上的勒索攻击病毒种类繁多呈现“百花齐放”的局面,而且每个家族的勒索病毒也处于不断地更新变异之中。2016年勒索软件变种数量达247个,而2015年全年只有29个,其变体数量比上一年同期增长了752%。变体的增多除了依赖先进网络技术飞速发展以外,还与网络攻击者“反侦查”意识的增强相关。很多勒索软件编写者知道安全人员试图对其软件进行“逆向工程”,从而不断改进勒索软件变体以逃避侦查。比如爆发于2017年的WannaCry,在全球范围蔓延的同时也迅速出现了新的变种——WannaCry 2.0,与之前版本的不同是,这个变种不能通过注册某个域名来关闭传播,因而传播速度变得更快。
(三) 攻击路径多样化
近年来越来越多的攻击事件表明,勒索攻击正在由被动式攻击转为主动式攻击。以工业控制系统为例,由于设计之初没有考虑到海量异构设备以及外部网络的接入,随着开放性日益增加,设备中普遍存在的高危漏洞给了勒索攻击以可乘之机,一旦侵入成功即可造成多达数十亿台设备的集体沦陷。随着远程监控和远程操作加快普及并生产海量数据,网络攻击者更容易利用系统漏洞发动远程攻击,实现盗取数据、中断生产的目的。为了成功绕过外部安装的防火墙等安全设施,不少勒索攻击诱导企业内部员工泄露敏感信息。除了针对运营管理中存在的薄弱环节,勒索攻击还在设备安装过程中利用内置漏洞进行横向渗透,一旦发现系统已有漏洞则立即感染侵入。
(四) 攻击目标多元化
一方面是从电脑端到移动端。勒索病毒大多以电脑设备为攻击目标,其中Windows操作系统是重灾区。但随着移动互联网的普及,勒索攻击的战场从电脑端蔓延至移动端,并且有愈演愈烈的趋势。俄罗斯卡巴斯基实验室检测发现,2019年针对移动设备用户个人数据的攻击达67500个,相比2018年增长了50%。同年卡巴斯基移动端产品共检测到350多万个恶意安装软件包,近7万个新型移动端银行木马和6.8万多个新型移动端勒索软件木马。
另一方面是从个人用户到企业设备。个人设备在勒索软件攻击目标中一直占据较高比例,但随着传统勒索软件盈利能力的持续下降,对更高利润索取的期待驱使网络攻击者将目标重点聚焦在政府或企业的关键业务系统和服务器上。比如在今年7月16日发生的国家级勒索事件中,厄瓜多尔最大网络运营商CNT遭遇勒索软件RansomEXX的攻击,致使其业务运营、支付门户及客户支持全部陷入瘫痪,犯罪团伙声称已经取得190GB的数据,并在隐藏的数据泄露页面上分享了部分文档截图。
随着AI、5G、物联网等技术的快速普及和应用,以及加密货币的持续火爆,勒索攻击呈现出持续高发态势,全球大量知名企业都曾遭到勒索攻击并导致经济和声誉损失。据《2020年我国互联网网络安全态势综述》统计,2020年我国全年捕获勒索病毒软件78.1万余个,较2019年同比增长6.8%。据Cybersecurity Adventure统计,2021年全球勒索软件破坏成本预计将达到200亿美元,高于2015年3.25亿美元的61倍。
勒索攻击7大趋势特点
(一) 影响社会正常运转且难解密
勒索攻击对社会正常运转带来较大挑战。在民生方面,大型企业遭到勒索攻击严重影响民众正常生活。2021年5月全球最大的肉类供应商JBS遭到勒索病毒攻击,部分牛羊屠宰加工厂停摆,美国肉类批发价格出现上涨,使得本就受到疫情冲击的全球食品供应链雪上加霜。在医疗卫生方面,勒索攻击不但造成巨额经济损失,同时也威胁到病人生命安全。2020年9月,德国杜塞尔多夫医院30多台内部服务器遭到勒索攻击,一位前来寻求紧急治疗的妇女被迫转送至其他医院后死亡。这是公开报道的第一起因勒索攻击导致人死亡的事件。国内也出现过类似的勒索攻击事件,如某建筑设计院遭遇勒索病毒攻击,数千台电脑文件被加密,工程图纸无法访问,损失惨重。
勒索攻击使用的加密手段越来越复杂多样,绝大多数不能被解密。业内专家普遍认为遭受勒索攻击之后,没有“特效药”。受害者往往需要在支付巨额赎金和数据恢复重建中做出选择。即使一些勒索攻击采用的加密算法是公开的,但是依靠现有的算力或者是通过暴力破解的方式也难以进行解密,因为暴力解密往往需要上百年的时间。
(二) 勒索攻击SaaS化
随着云计算、人工智能等新技术的快速普及和应用,勒索软件即服务成为当前网络攻击的新模式。勒索软件黑色产业层级分明,全链条协作,开发者只管更新病毒,拓展传播渠道大肆释放勒索病毒,各级分销参与者点击鼠标就能从中瓜分利润。这种黑色产业分销模式大大降低了勒索攻击的传播门槛,使网络安全风险快速扩散。例如,依靠这种黑产模式,某勒索攻击软件仅用一年多时间就敛财20亿美元。
勒索攻击从制作、传播、攻击到收益呈现系统化、便捷化趋势,开发者可以提供一整套解决方案,甚至包括利用加密货币进行赎金支付等服务。这些解决方案具有“开箱即用”的便捷性,犯罪分子获得勒索病毒后,可以通过多种渠道进行传播并获利,攻击模式更为便捷。此外,攻击者往往并不需要任何编程技术就可以开展违法犯罪活动,理论上任何人只要支付少量费用就可以通过这类服务开展勒索攻击,导致网络攻击的门槛大幅降低。
(三) 加密货币普及助推赎金额度快速增长
勒索病毒的制造者对赎金的要求越来越高。2017年在全球140多个国家和地区迅速蔓延的WannaCry勒索病毒赎金仅为300美元,4年后勒索病毒要求企业支付的赎金则大多在上百万美元, Sodinokibi勒索病毒在2019年前后出现在中国时,索要金额仅7000元人民币,到了2020年,该团伙的勒索金额已动辄千万美元以上。例如2020年3月,计算机巨头宏碁公司被要求支付5000万美元赎金;2020年11月,富士康墨西哥工厂被要求支付超过3400万美元赎金。
高额赎金不仅让犯罪分子赚得盆满钵满,同时可以借此招揽更多人铤而走险加入勒索攻击行列。加密货币近年来成为社会关注的焦点,尤其是加密货币的匿名化导致监管部门很难对其进行管理。犯罪分子利用加密货币这一特点,有效隐匿其犯罪行径,导致网络攻击门槛降低、变现迅速、追踪困难,一定程度上成为网络犯罪快速增长的“助推剂”。
(四) 大型企业和基础设施成为攻击重点
传统勒索病毒攻击者使用广撒网、误打误撞的手法,这种无差别攻击很难预测受害者是谁,哪些受害者有价值。同时,普通用户的数据价值相对不高,且缴纳赎金的意愿并不强烈。近年来,勒索攻击对象涉及面越来越广,目前主要针对掌握大量数据的大型企业,且定向精准攻击趋势愈发明显,勒索攻击日趋APT化。所谓APT化,即攻击不计成本、不择手段,从低权限帐号入手,持续渗透攻击,直到控制企业核心服务器,再释放勒索病毒,使巨型企业彻底瘫痪。此外,勒索攻击APT化还意味着攻击者入侵后会首先窃取该企业的核心数据,即使企业使用备份恢复系统,核心机密泄露也会导致极其严重的损失。波音公司、台积电、富士康、全球最大的助听器制造商Demant、法国最大商业电视台M6 Group都曾成为被攻击对象。BlackFog研究发现,2020年勒索攻击主要针对政府部门、制造业、教育和医疗保健等行业。
同时,攻击者开始针对特定企业有针对性地制定攻击策略,哪些企业掌握大量有价值的数据,哪些企业就越容易遭到攻击。针对目标企业,攻击者手法更加多样化、对高价值目标的攻击进行“量身定做”,形成一整套攻击“组合拳”。对于大型企业来讲,网络节点和上下游关联企业与供应商都成为潜在的攻击漏洞,产业链中安全薄弱环节均成为攻击者实现突破的关键点。许多企业为了避免业务被中断,往往选择支付巨额赎金。
(五) “双重勒索”模式引发数据泄露风险
时至今日,勒索攻击已经从单纯的支付赎金即可恢复被加密的数据,逐渐演变成先窃取商业信息和内部机密,而后威胁企业不缴纳赎金将公开数据,这种新模式也被称为“双重勒索”。这样一来,不仅使得勒索攻击杀伤性增强,被勒索企业缴纳赎金的可能性变大,诱使勒索攻击者发动更多攻击,而且极易引发大规模的行业内部数据泄露事件,使得受害企业同时承受数据公开、声誉受损、行政处罚等多重压力。
据不完全统计,自2019年11月首次公开报道勒索病毒窃取数据的事件以来,不到一年时间里,有超过20个流行勒索病毒团伙加入到数据窃取的行列中。以Maze(迷宫)勒索攻击为例,它不仅最先开始系统性地窃取数据,还以泄露数据相逼要挟用户缴纳赎金。越来越多的勒索事件表明,“双重勒索”模式已成为现今网络攻击者实施攻击的重要手段。
(六) 供应链成为勒索攻击的重要切入点
供应链攻击作为一种新型攻击手段,凭借自身难发现、易传播、低成本、高效率等特点成功跻身最具影响力的高级威胁之列。供应链攻击一般利用产品软件官网或软件包存储库等进行传播,网络攻击一旦成功攻陷上游开发环节的服务器,便会引发连锁效应,波及处于供应链中下游的大量企业、政府机构、组织等。由于被攻击的应用软件仍然来自受信任的分发渠道,恶意程序将随着软件的下载安装流程悄无声息地入侵目标电脑,逃避传统安全产品检查的同时又可沿供应链发动向后渗透攻击,大大增加安全检测的难度。
近年来供应链攻击备受关注。2017年6月一家不知名的乌克兰软件公司遭受勒索攻击,勒索病毒通过软件公司服务器传播到数家全世界最大的企业之中,令其运营陷入瘫痪,造成全球范围内约100亿美元的损失。2021年7月,美国软件开发商Kaseya遭勒索攻击,网络攻击团伙索要高达7000万美元的赎金,有评论称此次事件可能成为2021年影响最大的供应链攻击事件。
(七) 引发网络保险行业的恶性循环
美国战略与国际研究中心与杀毒软件供应商迈克菲联合发布的一份报告指出,估计每年全球网络攻击所带来的损失将达9450亿美元,再加上约1450亿美元的网络防护支出费用,总经济成本将超过1万亿美元。高额的网络攻击成本催生了对网络风险保险的庞大需求市场,根据预测,到2025年网络风险保险费用将从2016年的32.5亿美元上升到200亿美元。伦敦再保险经纪商Willis Re透露,今年7月保单更新季,网络安全相关保险费率将迎来40%的大幅增长。
然而网络保险行业欣欣向荣的表象下,却潜藏着巨大的恶性循环危机。由于最近几个月来全球几大公司接连遭到灾难性的勒索攻击,越来越多的企业向网络保险和再保险公司寻求帮助,网络攻击者特意挑选投保了网络保险的公司作为攻击目标,更加有针对性地实施勒索攻击,使得网络犯罪的成功率大幅提升,整体网络环境面临加速恶化的窘境。为遏制这一情况的继续恶化,已有多家公司开始缩减网络保险覆盖范围,法国正在考虑强制所有网络保险商停止报销赎金支出,以切断网络犯罪这一有利可图的途径。
提高预防意识并
构建前置安全是关键
由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性,并不建议将防治重点放在遭受攻击后的解密环节,而应该着重做好预防工作,不给勒索病毒以可乘之机。
从个人用户来讲,增强员工安全意识与加强数据备份同等重要:一方面要增强安全意识。对于可疑的邮件尤其是附带的网址不建议随意点开,同时系统提示的安装补丁或者软件病毒库要保持及时更新。另一方面,对于使用了非对称加密算法加密的文件,目前尚未找到有效的破解方法,一旦计算机遭到此类新型勒索病毒的攻击只能束手待毙,因而必须在平日里就做好重要数据的备份工作,且最好使用本地磁盘和云服务器双备份的策略。
从企业用户来讲,解决勒索攻击的核心是构建“安全能力前置”,提升自身的“免疫力”:
1.“安全能力前置”成为企业必选项。企业数字化程度越高,潜在的安全风险也就越大,甚至会有致命风险。被动防御性的安全思路难以应对多样化、动态化的网络攻击。因此,一方面要利用AI、大数据、云计算等新技术实现安全能力在业务环节的前置,提前预判潜在安全风险,另一方面要对安全专家或人才能力量化,使过往积累的安全经验与能力标准化、流程化,以实现安全能力的量化部署。
2.构建云上安全提升安全防御能力。产业互联网时代安全威胁逐步扩大,企业在应对勒索攻击时,数据备份和恢复的重要性进一步凸显。云原生安全所具备的开箱即用、自适应等显著优势将成为保障云平台和云上业务安全的重要基础。一方面云原生安全将构建安全服务全生命周期防护,伴随云上业务发展全过程。另一方面云上安全产品将向模块化、敏捷化和弹性化演进,为用户提供差异化服务,成为兼顾成本、效率和安全的“最优解”。
3.零信任有望成为勒索攻击有效解决途径。零信任假定所有身份、设备和行为都是不安全的,即使曾经有过被“信任”的经历也要一视同仁,在接入时需要进行全程安全验证和检查。攻击者使用窃取到的账号信息登录VPN或其他内部业务平台时,由于零信任采用多因子用户验证(即只有账号密码还不够,需要配合短信验证码、token、人脸识别等),即使攻陷了企业的一台服务器,也无法致使勒索攻击扩散到其他服务器。零信任体系还能有效阻止黑客入侵后在内网扩散。攻击者可能控制某些脆弱的单点,当其通过已攻击的终端向网络内部更重要系统渗透时,零信任的安全机制可以及时检测到风险,从而帮助企业将风险控制在最小限度,不至于发生全网崩溃的严重后果。
4. 打好保障供应链安全的“组合拳”。一方面,须加强代码审计与安全检查。机构组织可向供应商索要清单,列明其使用的所有代码组件,以识别与开源组件漏洞有关的潜在风险。此外还可以考虑在实施代码前,增加额外的自动化或手工检查,并利用第三方工具对软件及相关产品源代码进行详细的安全分析。另一方面,加快推动建立零信任架构等安全防护机制。供应链攻击暴露出网络安全架构最大的缺陷就是过于信任。而零信任架构意味着每个试图访问网络资源的人都要进行验证,其访问控制不仅能应用于用户,也适用于服务器设备与各类应用,以防止第三方供应商获得不必要的特权,从而降低恶意软件的渗透风险。
近期全球典型勒索攻击汇总表
数据来源:公开信息整理
参考文献:
[1]张晓玉,陈河.从SolarWinds事件看软件供应链攻击的特点及影响[J].网信军民融合,2021(04):37-40.
[2].瑞星2020年中国网络安全报告[J].信息安全研究,2021,7(02):102-109.
[3]李江宁,覃汐赫.工业领域的勒索攻击态势与应对思路[J].自动化博览,2021,38(01):86-90.
[4]张宝移.计算机勒索病毒及防治策略分析[J].技术与市场,2020,27(10):109-110.
[5]高红静.近年勒索软件威胁分析及防范策略综述[J].保密科学技术,2018(12):21-28.
[6]李易尚.勒索软件:过去、现在和未来[J].北京警察学院学报,2017(06):99-104.
[7]李建平.供应链安全:防不胜防的软肋[J].保密工作,2021,(04):58-59.
[8]嵇绍国.2020年勒索软件攻击情况及趋势预测[J].保密科学技术,2020(12):33-43.
[9]2021上半年勒索病毒趋势报告及防护方案建议,南方都市报,2021-5-10
[10] 门嘉平.勒索病毒防治策略浅析[J].网络安全技术与应用,2020(06):23-24.
[11]吴崇斌,成星恺.勒索软件发展现状及应对[J].通讯世界,2019,26(08):111-112.
[12].盘点2019年勒索病毒灾难事件[J].电脑知识与技术(经验技巧),2019(12):88-90.
打击勒索攻击,
扫码参与H5小游戏
测试你是哪种类型的极客?
/往期文章
你“在看”我吗?
中了勒索病毒前期有什么预兆呢? - 知乎
中了勒索病毒前期有什么预兆呢? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册数据安全网络安全计算机信息安全计算机病毒中了勒索病毒前期有什么预兆呢?中了勒索病毒前期有什么症状呢? 中招勒索病毒后果的显现几乎是一瞬间的,比如突然哪一天开机就发现文件全被加密了。但是我想,这个加密过程总是需要时间,并且…显示全部 关注者60被浏览62,289关注问题写回答邀请回答好问题 22 条评论分享8 个回答默认排序腾讯安全联合实验室有实力,无所惧 关注如题主所说,这是最必要普及的知识点。在今天计算机性能很强的情况下,普通用户可能完全感知不到文件被加密,台式机硬盘灯闪一下,可能就加密完了。加密结束才会弹出勒索界面,这个时候已经啥都来不及了。不过用的是比较老式硬盘的话,在工作的时候会有明显的噪音。如果是服务器管理员,应该还是可以观察到的,会突然发现怎么连不上数据库了。病毒在加密时,会结束正常服务的进程,比如SQL。如果数据库服务在工作中,数据库文件就是被占用的状态,无法进行加密操作,病毒会首先结束进程,这时候服务器管理员还是会明显感觉到的。整体来看,勒索病毒感染大致可分为三个阶段:1、病毒感染初阶段病毒从未知渠道进入网络,病毒开始攻击内网某台主机,对计算机存在漏洞计算机进行攻击,成功后释放mssecsvc.exe文件,并连接固定url(54.153.0.145)。如果连接成功,则退出程序,否则会持续发起攻击;2、病毒感染中阶段这一阶段蠕虫开始判断参数个数,小于2时,进入安装流程;大于等于2时,进入服务流程;3、病毒感染后阶段感染后期,勒索病毒之间开始对磁盘文件进行加密处理,出现勒索软件界面。如果感染过程没有察觉到的话,接下来勒索病毒这种恶意行为一定会叫你“铭记于心”,文件被绑之后,首先病毒制造者会通过更换你的电脑桌面背景给你个小Tips,然后你会发现你的文件都被上锁加密了,接着病毒就会弹出窗口来挑衅你,要挟你交赎金来解锁被加密的文件,这是赤裸裸的敲诈勒索。因为病毒在感染过程中,我们用户是无法感知到的,很多时候是在感染之后才会发现,可惜为时已晚。所以恢复工作就成为不得不做的事儿,具体说一下恢复要求:文件修复需相同数据库文件未被加密的备份或相同库结果的空库文件;数据解密是没有任何要求的,需要对Ms sql、my sql、oracel数据库文件进行修复,数据解密是对全部文件进行解密。最后,简单总结归纳以下几种防御勒索病毒入侵的措施:1、敲黑板,电脑上的文件一定要备份,并且勤备份。注意不要备份在本机和网络硬盘上,备份盘也不要一直插在电脑上;2、安装反勒索防护工具,不要访问可疑网站、不要打开可疑的电子邮件和文件,如果发现被感染,也不要支付赎金;3、关闭电脑包括TCP和UDP协议135和445端口,尤其是Windows7系统,不要使用校园网;4、安装微软发布的修复“永恒之蓝”攻击的系统漏洞的补丁MS17-010,尽快升级安装Windows操作系统相关补丁。有这么一句俗语:“不怕贼偷,就怕贼惦记”,即便是再慎密、再安全的保护工作,也总有其出现破绽的地方。网络安全攻防,并不像大家想象的那么容易,我们面对的对手都是信息挖掘及资源整合“高手”,他们只要赢一次,意味着我们就永远输了。编辑于 2018-08-13 10:22赞同 271 条评论分享收藏喜欢收起知乎用户前兆主要是 CPU 和磁盘占用升高。不要试图找前兆,因为所谓的前兆出现时一些文件已经损失了。想长期保留的文件请备份。如果你的反病毒软件支持,可以将除了有必要读写你的文件以外的程序都禁止读写你的个人文件。还有一个简单粗暴的方法:存放个人文件的卷平时不用就不要挂载。发布于 2016-11-07 18:46赞同 35 条评论分享收藏喜欢
百度百科-验证
百度百科-验证
勒索病毒真的无解?手把手教你对付勒索病毒 - 知乎
勒索病毒真的无解?手把手教你对付勒索病毒 - 知乎切换模式写文章登录/注册勒索病毒真的无解?手把手教你对付勒索病毒太平洋科技软件频道最近几年一种以敲诈用户钱财为目的病毒流行起来,用户电脑中误中这种病毒后,该类病毒会自动的加密用户在电脑硬盘中的各类文件,并且显示勒索信息,让受害者交付赎金才能解密找回文件,这对于电脑中存储有重要资料的用户来说,简直就是噩梦。那么勒索病毒危害如何?咱就来实测一下看看它的恐怖为例!如何防范此类病毒,咱也来探讨一下!如何解密被这类病毒加密的文件,咱也来唠叨唠叨!图1 勒索病毒对用户资料文件是个灾难(图片来源Kaspersky)什么是勒索病毒勒索病毒是一种目前流行的病毒,通过网络等多种途径传播,受害者电脑感染该病毒后后,病毒将自动加密受害者电脑里的多种常见文件,使得受害者的重要资料文件无法正常使用,或者是锁住用户电脑,并以此为条件向用户勒索钱财。被恶意加密的文件类型包括了文档、邮件、数据库、源代码、图片、视频、key文件和压缩文件等多种文件。黑客们勒索的赎金形式包括真实货币、比特币或其它虚拟货币。一般来说,勒索软件作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨。特殊情况下即使用户支付了赎金,最终也还是无法还原被加密的文件。勒索病毒在真假方面可以分为两类,一类为真实加密一类为虚假加密。采用真实加密的勒索病毒由于采用了高强度加密方式,没有病毒作者手中的密钥,就无法进行文件的解密操作,受害者不得不为此而交付赎金。而有些则因为无法联系到病毒作者或者病毒加密文件时出错,进而导致了文件无法解密,用户资料文件因此被锁,损失惨重。而采用虚假加密的勒索病毒只是简单地将用户的文件进行了隐藏甚至只是改了后缀名,稍微懂电脑技术的都可以把文件重新找回来。勒索病毒实测 恐怖的全盘文件加密为了让大家更好的了解勒索病毒,让我们先来用虚拟机测试一下勒索病毒,看看它的恐怖威力。为了方便测试,本次测试Windows环境采用了Windows 7系统,没有安装任何的杀毒软件。笔者先在虚拟机硬盘分区的PConline文件夹中准备了多种常见文件类型的文件,包含了文本文档及微软office系列文档、常见媒体文件格式文档、常见图片格式文档、常见压缩格式文档,具体测试文件请看下图。图2 测试文件列表接下来,运行勒索病毒,静候片刻后,Windows桌面背景已经被病毒修改为勒索信背景图片。这个时候再进入PConline件夹中查看测试文件,PConline文件夹中的参与测试文件都已经被病毒进行加密操作,并修改后缀名为WNCRY。图4 常用文件格式全军覆没然后还有个勒索说明弹窗,这个弹窗还“贴心”的准备了多国语言。图5 勒索说明弹窗造成的危害:由于勒索病毒大多都都是全盘扫描并加密用户电脑中的常见文件格式文件。诸如用户保存到电脑中的照片、视频等具有纪念价值的文件被加密,工作事业文件被加密严重影响工作甚至导致工作停摆。于是便有了不少受害者上网求助。“十几年的照片被恶意加密,跪求破解”。“多年研究资料被加密,研究成果毁于一旦”。由于勒索病毒大多数采用了比特币支付方式,并且有些勒索病毒的支付页面已经无法打开或者需要采用非常方式打开,导致用户即使想要支付赎金都无从支付。甚至有些勒索病毒所加密的文件在用户支付赎金后依然无法进行解密操作。需要提醒受害者的是,如果你的重要资料文件被勒索病毒所加密,请勿重装操作系统或者清除病毒,重装操作和清除病毒操作将可能导致一些解密所需数据丢失,进而交了赎金后也可能无法进行文件解密。勒索病毒能自行解密么 安全厂商联合推出解密网站上边说了,多数勒索病毒都采用了高强度加密算法进行加密,如RSA加密,这类加密算法具有极高的安全性,除非拿到密钥,否则几乎无法解密(大多数敲诈者木马,目前都采用了比较规范的非对称结合对称的加密手段,这直接导致了在没有拿到黑客手中的私钥的前提下,解密文件几乎不可能。)。也就是说,如果受害者不接受黑客的勒索条件,则电脑上的几乎所有重要数据都将无法找回,给受害者带来巨大的损失。提供100+勒索病毒解密工具正由于勒索病毒给受害者带来了严重的损失,所以勒索病毒也成为了各大计算机安全厂商重点关注对象。这不,为了对付勒索病毒,荷兰国家警察高科技犯罪单位、欧洲刑警欧洲网络犯罪中心,以及卡巴斯基实验室和英特尔安全,一起做了专门针对勒索病毒的网站-——No more ransom(拒绝勒索软件)。No more ransom:https://www.nomoreransom.org/zh/index.html“拒绝勒索软件”网站是一项由荷兰国家警察高科技犯罪单位、欧洲刑警组织下属欧洲网络犯罪中心, 卡巴斯基实验室 和英特尔公司(英特尔安全)网络保安全公司所推动的计划,旨在帮助勒索软件的受害者重新取回其加密数据,而无需支付赎金。No more ransom收录了超过100种已知的勒索病毒,并且针对这些勒索病毒做了专门的解密工具。如果不幸中招的用户,可以尝试使用该网站里的“解码刑警”工具来识别所中的是何种勒索病毒,并且查询是否有解密工具。只需要上传一个小于1M的被恶意加密的文件到解码刑警页面,稍等片刻该网站就会给用户提供究竟是中了何种病毒以及病毒信息,并且给出了解决方案。(如果你已经知道是何种勒索病毒,可以直接在“解密工具”页面查找解密工具)可是也别抱太大的希望,就像小编测试的这种勒索病毒,虽然已经老旧,但是在No more ransom还没找到解密方案。图6 上传文件到解码刑警图7 获得结果图8 解密工具页面在的解密工具页面提供了100+勒索病毒的加密工具,这里有着多家安全软件厂商提供的针对性勒索病毒解密工具,有解密工具的直接下载地址与使用指南,切记先看指南再用工具。图9 有下载地址与解密指南360在线查询与解密网站国内知名安全软件360页推出了一个专门的勒索病毒查询与在线解密网站。360勒索病毒解密:https://lesuobingdu.360.cn/在这里,用户同样可以通过上传被加密文件的方式来查询是中了哪种勒索病毒,并可以尝试解密。图10 上传被加密文件获得结果勒索病毒可以防范么 做足措施防范损失防范措施一:最重要的是定期异地备份硬盘有价,数据无价。和以前不同,现在有许多人都习惯了把重要资料保存在电脑中,方便查看与修改。可是许多人却忘记了硬盘会坏,电脑可能被盗,文档可能被误删除,系统可能会被感染病毒,甚至到了目前的文档可能会被敲诈类病毒加密的地步。因为这些原因而导致重要资料丢失的新闻并不鲜见,有个教授甚至因此而丢失了几十年的科研记录。所以养成定期的文档备份习惯是必须的事情。现在有许多自动同步软件,可以帮助你自动进行文档的本地及局域网、FTP备份。而笔者建议的是,至少要用一个移动存储器(如U盘、移动硬盘)来对重要资料进行异地备份。也就是说,备份存储器不要时刻与电脑进行连接。只在需要备份时进行连接。为的就是防范备份文件在系统中毒后也会遭到感染,所以强调“异地”备份。对于这个用户备份的移动存储器里边的备份文件保密问题,你可以采用Windows BitLocker功能相对该移动存储器进行加密操作,不过千万不要忘记密码。图11 FileGee同步备份软件而且还有许多的网盘客户端软件,也可以帮助你把指定的文档定期的备份到网盘存储空间去。部分网盘还支持多版本文件功能,更是可以帮你找回文件的旧版本。图12 百度网盘的文件夹备份功能防范措施二 安装一款靠谱的杀毒软件别相信什么裸奔电脑的情况,杀毒软件无用论,至少,目前勒索病毒已经被各个安全软件公司所关注,当然相应的各个知名杀毒软件也能够查杀该类病毒及其一些变种,所以安装一款靠谱的杀毒软件还是非常有必要的,还有,记得要升级所安装的杀毒软件病毒库到最新版本。图13 靠谱的杀毒软件还是有作用的只是,勒索病毒或许还在更新,并且会形成更多的变种以逃避杀毒软件的查杀,所以有了杀毒软件也不能掉以轻心。还有需要注意的是,如果系统真的中了勒索者病毒,并且重要文档被加密的话,千方不要先查杀该病毒,因为某些勒索病毒采用了将用户文件加密并植入病毒的方式,如果你查杀了病毒,也就同步删除了被加密的文件。重要的是,先恢复被感染的文档再进行病毒查杀操作。总结近几年病毒木马似乎变得少了,于是现在的网友们就没有了以前那必装杀毒软件,甚至还要装上几个杀毒软件那种警惕性了。其实各种盗号木马还是层出不穷,各种病毒还在不少用户电脑中潜伏着肆意破坏着。作为普通用户,咱还需多加防范,对于重要资料文件,咱的备份操作少不得,安全第一!发布于 2022-08-20 12:30勒索病毒赞同 31 条评论分享喜欢收藏申请
勒索病毒详解+处置流程 - 知乎
勒索病毒详解+处置流程 - 知乎切换模式写文章登录/注册勒索病毒详解+处置流程李白你好公众号现在只对常读和星标的公众号才展示大图推送,建议大家把网络技术交流圈设为星标,否则可能就看不到啦!----------------------------------------------------------------------勒索病毒特征即磁盘文件被加密,一旦完成勒索过程则无法恢复文件,因此这类病毒以预防为主,安装杀毒软件并做好主机防黑工作及时打补丁,对重要文件要及时隔离备份1.了解现状第一时间了解目前什么情况:文件被加密?设备无法正常启动?勒索信息展示?桌面有新的文本文件并记录加密信息及解密联系方式?2.了解中毒时间文件加密时间?设备无法正常启动的时间?新的文本文件的出现时间?了解事件发生时间,后面以此时间点做排查重点;3.了解系统架构4.确认感染机器5.感染文件特征和感染时间1、操作系统桌面是否有新的文本文件,文本文件中是否有详细的加密信息及解密联系方式;2、被加密的文件类型;3、加密后的文件后缀;6.被加密的文件类型.der,.pfx,.key,.crt,.csr,.p12,.pem,.odt,.ott,.sxw,.stw,.uot,.3ds,.max,.3dm,.ods,.ots,.sxc,.stc,.dif,.slk,.wb2,.odp,.otp,.sxd,.std,.uop,.odg,.otg,.sxm,.mml,.lay,.lay6,.asc,.sqlite3,.sqlitedb,.sql,.accdb,.mdb,.dbf,.odb,.frm,.myd,.myi,.ibd,.mdf,.ldf,.sln,.suo,.cpp,.pas,.asm,.cmd,.bat,.ps1,.vbs,.dip,.dch,.sch,.brd,.jsp,.php,.asp,.java,.jar,.class,.mp3,.wav,.swf,.fla,.wmv,.mpg,.vob,.mpeg,.asf,.avi,.mov,.mp4,.3gp,.mkv,.3g2,.flv,.wma,.mid,.m3u,.m4u,.djvu,.svg,.psd,.nef,.tiff,.tif,.cgm,.raw,.gif,.png,.bmp,.jpg,.jpeg,.vcd,.iso,.backup,.zip,.rar,.tgz,.tar,.bak,.tbk,.bz2,.PAQ,.ARC,.aes,.gpg,.vmx,.vmdk,.vdi,.sldm,.sldx,.sti,.sxi,.602,.hwp,.snt,.onetoc2,.dwg,.pdf,.wk1,.wks,.123,.rtf,.csv,.txt,.vsdx,.vsd,.edb,.eml,.msg,.ost,.pst,.potm,.potx,.ppam,.ppsx,.ppsm,.pps,.pot,.pptm,.pptx,.ppt,.xltm,.xltx,.xlc,.xlm,.xlt,.xlw,.xlsb,.xlsm,.xlsx,.xls,.dotx,.dotm,.dot,.docm,.docb,.docx,.doc7.加密后的文件后缀.WNCRYT,.lock,.pre_alpha,.aes,.aes_ni,.xdata,.aes_ni_0day, .pr0tect,.[stopstorage@qq.com].java,文件后缀无变化;8.确认感染时间Linux系统:执行命令stat[空格]文件名,包括三个时间access time(访问时间)、modify time(内容修改时间)、change time(属性改变时间),如:例:stat /etc/passwdWindows系统:例:右键查看文件属性,查看文件时间9.处理方式未被感染主机:关闭SSH、RDP等协议,并且更改主机密码;备份系统重要数据、且文件备份应与主机隔离;禁止接入U盘、移动硬盘等可执行摆渡攻击的设备;被感染主机:立即对被感染主机进行隔离处置,禁用所有有线及无线网卡或直接拔掉网线防止病毒感染其他主机;禁止在被感染主机上使用U盘、移动硬盘等可执行摆渡攻击的设备;无法定位到文件?木马执行完毕后自删除采用傀儡进程技术,恶意代码只在内存展开执行高级Rootkit或Bootkit级木马,强对抗性,三环工具无法探测解决方式收集系统事件日志,保持系统环境,请求后端技术支持案例一(1)事件概述某日接到应急响应请求:某外网服务器中敲诈者病毒。(2)事件分析应急响应人员到场了解情况后,发现服务器中植入勒索病毒,导致全盘文件被加密为java后缀格式文件,所有应用均无法使用。发现系统所有文件被加密为java后缀文件;桌面存在敲诈文件“FILES ENCRYPTED.txt”,内容为敲诈者的勒索信息,疑似攻击者邮箱为:xxxxxdx@qq.com;该email地址已有多起攻击事件:查看系统进程,发现天擎的相关防护服务已被关闭;进一步排查,发现服务器对外开放了3389远程桌面管理端口;administrator账户口令为弱口令,且自系统安装以来未修改过密码:(3)结论:服务器中“敲诈者”病毒,磁盘文件被全盘加密,目前暂时无法解密,只能通过重装操作系统来恢复,事件原因是黑客通过服务器3389端口弱口令进入,并上传加密程序执行加密;案例二应急响应小组成员在通过登录被加密感染的数据库服务器,发现其桌面上弹出勒索软件提示窗口:通过对被加密文件进行索引,发现加密的开始时间为2017年12月X日X点09分13秒;通过对系统日志进行分析,发现大量的远程桌面服务爆破日志:同时,于2017年X月X日凌晨00点09分26秒,IP归属于荷兰的攻击者成功登录该系统:(3)结论向客户说明服务器中勒索病毒,目前暂时无法解密,只能通过重装操作系统来恢复;10.勒索病毒家族11.传播方式(一)服务器入侵传播黑客先通过弱口令、系统或软件漏洞等方式获取用户名和密码,再通过RDP(远程桌面协议)远程登录服务器,一旦登录成功,黑客就可以在服务器上为所欲为,例如,卸载服务器上的安全软件并手动运行勒索软件。这种攻击方式,一旦服务器被入侵,安全软件一般是不起作用的。管理员账号密码被破解,是服务器被入侵的主要原因。其中,管理员使用弱密码被黑客暴力破解,部分黑客利用病毒或木马潜伏用户电脑盗取密码,黑客还可从其他渠道直接购买账号密码(这里就涉及到敏感数据泄露问题了。)(二)利用漏洞自动传播通过系统自身漏洞进行传播扩散,是2017年的一个新特点。WannaCry勒索病毒就是利用永恒之蓝(EternalBlue)漏洞进行传播。此类勒索软件在破坏功能上与传统勒索软件无异,都是加密用户文件勒索赎金,但因传播方式不同,更难以防范,需要用户提高安全意识,及时更新有漏洞的软件或安装对应的安全补丁。(三)软件供应链攻击传播软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查达到非法目的的攻击类型。2017年爆发的Fireball、暗云III、类Petya、异鬼II、Kuzzle、XShellGhost、CCleaner等后门事件均属于软件供应链攻击。而在乌克兰爆发的类Petya勒索软件事件也是其中之一,该病毒通过税务软件M.E.Doc的升级包投递到内网中进行传播。(四)邮件附件传播通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件,在附件中夹带含有恶意代码的脚本文件,一旦用户打开邮件附件,便会执行里面的脚本,释放勒索病毒。这类传播方式针对性较强,主要瞄准公司企业、各类单位和院校,电脑中往往不是个人文档而是公司文档。最终目的是给公司业务的运转制造破坏,迫使公司为了止损而不得不交付赎金。(五)利用挂马网页传播通过入侵主流网站的服务器,在正常网页中植入木马,让访问者在浏览网页时利用IE或Flash等软件漏洞进行攻击。这类勒索软件属于撒网抓鱼式的传播,没有特定的针对性,中招的受害者多数为“裸奔”用户,未安装任何杀毒软件。使用了MS17-010远程高危漏洞进行自我传播复制敲诈者通过文件加密方面的编程较为规范,流程符合密码学标准(RSA+AES加密),很难通过其他手段对勒索文件进行解密。12.勒索病毒攻击特点(一)无C2服务器加密技术流行2017年,我们发现黑客在对文件加密的过程中,一般不再使用C2服务器了,也就是说现在的勒索软件加密过程中不需要回传私钥了。这种技术的加密过程大致如下:1)在加密前随机生成新的加密密钥对(非对称公、私钥)2)使用该新生成新的公钥对文件进行加密3)把新生成的私钥采用黑客预埋的公钥进行加密保存在一个ID文件或嵌入在加密文件里解密过程大致如下:1)通过邮件或在线提交的方式,提交ID串或加密文件里的加密私钥(该私钥一般黑客会提供工具提取);2)黑客使用保留的预埋公钥对应的私钥解密受害者提交过来的私钥;3)把解密私钥或解密工具交付给受害者进行解密。通过以上过程可以实现每个受害者的解密私钥都不相同,同时可以避免联网回传私钥。这也就意味着不需要联网,勒索病毒也可以对终端完成加密,甚至是在隔离网环境下,依然可以对文件和数据进行加密。显然 ,这种技术是针对采用了各种隔离措施的政企机构所设计的。(二)攻击目标转向政企机构2017年,勒索软件的攻击进一步聚焦在高利润目标上,其中包括高净值个人、连接设备和企业服务器。特别是针对中小企业网络服务器的攻击急剧增长,已经成为2017年勒索软件攻击的一大鲜明特征。据不完全统计,2017年,约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击,尤以Crysis、xtbl、wallet、arena、Cobra等家族为代表。客观的说,中小企业往往安全架构单一,相对容易被攻破。同时,勒索软件以企业服务器为攻击目标,往往也更容易获得高额赎金。例如:针对Linux服务器的勒索软件Rrebus,虽然名气不大,却轻松从韩国Web托管公司Nayana收取了100万美元赎金,是震惊全球的永恒之蓝全部收入的7倍之多。Nayana所以屈服,是因为超150台服务器受到攻击,上面托管着3400多家中小企业客户的站点。这款勒索病毒的覆盖面有限,韩国几乎是唯一的重灾区。(三)针对关键信息基础设施的攻击以WannaCry、类Petya为代表的勒索软件,则是将关键信息基础设施作为了主要攻击目标,这在以往是从未出现过的严峻情况。关键基础设施为社会生产和居民生活提供公共服务,保证国家或地区社会经济活动正常进行,其一旦被攻击将严重影响人们的日常生活,危害巨大。(四)攻击目的开始多样化顾名思义,勒索软件自然就是要勒索钱财。但这种传统认知已经在2017年被打破。以网络破坏、组织破坏为目的的勒索软件已经出现并开始流行。其中最为典型的代表就是类Petya。与大多数勒索软件攻击不同,类Petya的代码不是为了向受害者勒索金钱,而是要摧毁一切。类Petya病毒的主要攻击目的就是为了破坏数据而不是获得金钱。此外,以Spora为代表的窃密型勒索软件在加密用户文档时,还会窃取用户账号密码和键盘输入等信息,属于功能复合型勒索软件。这些不仅以“勒索”为目的的“勒索软件”,实际上只是结合了传统勒索软件对文件进行加密的技术方法来实现其数据破坏、信息窃取等其他攻击目的。相比于勒索金钱,这种攻击将给对手带来更大的破坏和更大的威胁。这不仅会引发网络犯罪“商业模式”的新变种,而且会反过来刺激网络保险市场的进一步扩张。(五)勒索软件平台化运营2017年,勒索软件已经不再是黑客单打独斗的产物,而是做成平台化的上市服务,形成了一个完整的产业链条。在勒索软件服务平台上,勒索软件的核心技术已经直接打包封装好了,小黑客直接购买调用其服务,即可得到一个完整的勒索软件。这种勒索软件的生成模式我们称其为RaaS服务,而黑市中一般用“Satan Ransomware(撒旦勒索软件)”来指代由RaaS服务生成的勒索软件。RaaS服务允许任何犯罪者注册一个帐户,并创建自己定制版本的撒旦勒索软件。一旦勒索软件被创建,那么犯罪分子将决定如何分发勒索软件,而RaaS服务平台将处理赎金支付和增加新功能。对于这项服务,RaaS服务平台的开发者将收取受害者所支付赎金的30%,购买RaaS服务者将获取剩余70%的赎金。(六)境外攻击者多于境内攻击者2017年,勒索软件的攻击源头以境外为主。绝大多数的勒索软件攻击者基本都是境外攻击者,国内攻击者较少,而且国内攻击者技术水平也相对较低,制作水平也不高。有些国内攻击者编写的勒索软件程序甚至存在很多漏洞,因此也比较容易被破解。比如:MCR勒索病毒,我们可以直接获取到密钥从而恢复文件。13.勒索病毒事件防御个人终端防御技术(一)文档自动备份隔离保护文档自动备份隔离技术是360独创的一种勒索软件防护技术。这一技术在未来一两年内可能会成为安全软件反勒索技术的标配。鉴于勒索软件一旦攻击成功往往难以修复,而且具有变种多,更新快,大量采用免杀技术等特点,因此,单纯防范勒索软件感染并不是“万全之策”。但是,无论勒索软件采用何种具体技术,无论是哪一家族的哪一变种,一个基本的共同特点就是会对文档进行篡改。而文档篡改行为具有很多明显的技术特征,通过监测系统中是否存在文档篡改行为,并对可能被篡改的文档加以必要的保护,就可以在相当程度上帮助用户挽回勒索软件攻击的损失。文档自动备份隔离技术就是在这一技术思想的具体实现,360将其应用于360文档卫士功能模块当中。只要电脑里的文档出现被篡改的情况,它会第一时间把文档自动备份在隔离区保护起来,用户可以随时恢复文件。无论病毒如何变化,只要它有篡改用户文档的行为,就会触发文档自动备份隔离,从而使用户可以免遭勒索,不用支付赎金也能恢复文件。360文档卫士的自动备份触发条件主要包括亮点:一、开机后第一次修改文档;二、有可疑程序篡改文档。当出现上述两种情况时,文档卫士会默认备份包括Word、Excel、PowerPoint、PDF等格式在内的文件,并在备份成功后出现提示信息。用户还可以在设置中选择添加更多需要备份的文件格式。比如电脑里的照片非常重要,就可以把jpg等图片格式加入保护范围。此外,360文档卫士还集合了“文件解密”功能,360安全专家通过对一些勒索软件家族进行逆向分析,成功实现了多种类型的文件解密,如2017年出现的“纵情文件修复敲诈者病毒”等。如有网友电脑已不慎中招,可以尝试通过“文档解密”一键扫描并恢复被病毒加密的文件。(二)综合性反勒索软件技术与一般的病毒和木马相比,勒索软件的代码特征和攻击行为都有很大的不同。采用任何单一防范技术都是不可靠的。综合运用各种新型安全技术来防范勒索软件攻击,已经成为一种主流的技术趋势。下面就以360安全卫士的相关创新功能来分析综合性反勒索软件技术。相关技术主要包括:智能诱捕、行为追踪、智能文件格式分析、数据流分析等,具体如下。智能诱捕技术是捕获勒索软件的利器,其具体方法是:防护软件在电脑系统的各处设置陷阱文件;当有病毒试图加密文件时,就会首先命中设置的陷阱,从而暴露其攻击行为。这样,安全软件就可以快速无损的发现各类试图加密或破坏文件的恶意程序。行为追踪技术是云安全与大数据综合运用的一种安全技术。基于360的云安全主动防御体系,通过对程序行为的多维度智能分析,安全软件可以对可疑的文件操作进行备份或内容检测,一旦发现恶意修改则立即阻断并恢复文件内容。该技术主要用于拦截各类文件加密和破坏性攻击,能够主动防御最新出现的勒索病毒。智能文件格式分析技术是一种防护加速技术,目的是尽可能的降低反勒索功能对用户体验的影响。实际上,几乎所有的反勒索技术都会或多或少的增加安全软件和电脑系统的负担,相关技术能否实用的关键就在于如何尽可能的降低其对系统性能的影响,提升用户体验。360研发的智能文件格式分析技术,可以快速识别数十种常用文档格式,精准识别对文件内容的破坏性操作,而基本不会影响正常文件操作,在确保数据安全的同时又不影响用户体验。数据流分析技术,是一种将人工智能技术与安全防护技术相结合的新型文档安全保护技术。首先,基于机器学习的方法,我们可以在电脑内部的数据流层面,分析出勒索软件对文档的读写操作与正常使用文档情况下的读写操作的区别;而这些区别可以用于识别勒索软件攻击行为;从而可以在“第一现场”捕获和过滤勒索软件,避免勒索软件的读写操作实际作用于相关文档,从而实现文档的有效保护。企业级终端防御技术(一)云端免疫技术在国内,甚至全球范围内的政企机构中,系统未打补丁或补丁更新不及时的情况都普遍存在。这并非是简单的安全意识问题,而是多种客观因素限制了政企机构对系统设备的补丁管理。因此,对无补丁系统,或补丁更新较慢的系统的安全防护需求,就成为一种“强需求”。而云端免疫技术,就是解决此类问题的有效方法之一。这种技术已经被应用于360的终端安全解决方案之中。所谓云端免疫,实际上就是通过终端安全管理系统,由云端直接下发免疫策略或补丁,帮助用户电脑做防护或打补丁;对于无法打补丁的电脑终端,免疫工具下发的免疫策略本身也具有较强的定向防护能力,可以阻止特定病毒的入侵;除此之外,云端还可以直接升级本地的免疫库或免疫工具,保护用户的电脑安全。需要说明的事,云端免疫技术只是一种折中的解决方案,并不是万能的或一劳永逸的,未打补丁系统的安全性仍然比打了补丁的系统的安全性有一定差距。但就当前国内众多政企机构的实际网络环境而诺言,云端免疫不失为一种有效的解决方案。(二)密码保护技术针对中小企业网络服务器的攻击,是2017年勒索软件攻击的一大特点。而攻击者之所以能够渗透进入企业服务器,绝大多数情况都是因为管理员设置的管理密码为弱密码或帐号密码被盗。因此,加强登陆密码的安全管理,也是一种必要的反勒索技术。具体来看,加强密码保住主要应从三个方面入手:一是采用弱密码检验技术,强制网络管理员使用复杂密码;二是采用反暴力破解技术,对于陌生IP的登陆位置和登陆次数进行严格控制;三是采用VPN或双因子认证技术,从而使攻击者即便盗取了管理员帐号和密码,也无法轻易的登陆企业服务器。文章转自网络信科技,侵删往期精彩一份老网工珍藏多年的网络配置笔记
2023-12-04
一波网络安全名词解释~
2023-12-01
大厂裁员风波,好戏上演!
2023-11-29
信安考 证需要考以下各类安全证书的可以联系我,价格优惠、组团更便宜,还送【网络技术交流圈】知识星球1年!发布于 2023-12-05 08:45・IP 属地北京勒索病毒赞同添加评论分享喜欢收藏申请
“假勒索”?真攻击! 一文支招教你如何判断是否感染勒索病毒及应急响应 - 知乎
“假勒索”?真攻击! 一文支招教你如何判断是否感染勒索病毒及应急响应 - 知乎切换模式写文章登录/注册“假勒索”?真攻击! 一文支招教你如何判断是否感染勒索病毒及应急响应融安网络工控安全技术领军企业8月11日晚间,就“美的受黑客攻击并被勒索千万美元”的传闻,美的集团在微博上发文回应称:“2022年8月11日,美的集团遭受新型网络病毒攻击,少数员工电脑受到感染,公司各业务系统未受影响,经营正常进行,也没有收到勒索信息。”不过,事发当晚,在招聘软件上却发现美的连夜“高薪”招聘信息安全技术专家,仍引发了网上不少议论猜测的声音。截图来源:美的集团官方微博近年来,勒索病毒肆虐全球,影响波及了众多行业和机构,全球各地的关键基础设施正面临着前所未有的严峻考验,工厂停摆、数据泄露等等事故的发展甚至影响着国家的正常运作,已经成为最受关注的网络安全问题之一。2022年上半年发生的影响或损失重大的勒索事件,如2月23日,英伟达(Nvidia)遭Lapsus$组织攻击,涉及1TB机密数据泄露;3月1日,丰田汽车供应商遭勒索攻击,14家本土工厂暂时关闭,28条生产线停工一天等事件发生。判断是否感染勒索病毒的几大特征?众所周知,勒索病毒的主要目的是为了勒索,那么黑客在植入病毒完成加密后,必然会提示受害者您的文件已经被加密了无法再打开,对受害者实施勒索,从中非法谋取私利,唯有支付赎金才能恢复文件。所以,勒索病毒区别于其他一般病毒有明显的特征。因此,可以通过以下特征来判断是否感染勒索病毒。1、电脑桌面出现勒索信息文件主机被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式。2、文件后缀被篡改主机感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件后缀名被篡改。一般来说,文件后缀名会被改成勒索病毒家族的名称或其家族代表标志,如:GlobeImposter家族的后缀为.dream、.TRUE、.CHAK等;Satan家族的后缀.satan、sicck;Crysis家族的后缀有.ARROW、.arena等。3、业务系统无法访问2018年以来,勒索病毒的攻击不再局限于加密核心业务文件;转而对企业的主机和业务系统进行攻击,感染企业的关键系统,破坏企业的日常运营;甚至还延伸至生产线——生产线不可避免地存在一些遗留系统和各种硬件难以升级打补丁等原因,一旦遭到勒索攻击的直接后果就是生产线停产。感染勒索后的截图:解密后的截图:那么,勒索病毒来袭,如何做好应急响应?面对愈演愈烈的勒索病毒,我们应该如何应对?虽然无法完全杜绝勒索病毒,但我们可以做好有效的安全防范措施,及时发现并阻断威胁,定期做好数据备份,保护数据资产安全。第一、断网隔离当确认已被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段。物理隔离主要常用操作方法为断网和关机,防止勒索病毒在内网进一步传播感染,避免组织造成二次损失最直接的方式,待应急结束,加固完成后,再放通网络。访问控制就是进一步关闭445、139、135等不必要的端口,尤其RDP端口,并在网络侧使用安全设备进一步隔离,如防火墙、终端安全卫士等设备,设置IP白名单规则,配置高级安全Windows防火墙,设置远程桌面连接的入站规则,将使用的IP地址或IP地址范围加入规则中,阻止规则外IP进行暴力破解;第二、安全排查业务系统使用病毒查杀工具进行病毒全盘扫描,找到病毒文件进行隔离查杀处置。如主机核心系统文件被加密,则进行系统重装;开启关键日志收集功能(安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对勒索软件的发现与追踪溯源。融安网络检测系统以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁。第三、加固防范及时对操作系统、设备、以及软件进行打补丁和更新,对系统进行渗透测试及安全加固;建立安全灾备预案,确保备份业务系统可以快速启用。第四、联系技术人员或者安全从业者在应急自救处置后,建议第一时间联系专业的技术人士或者安全从业者,对事件的感染时间、传播方式、感染家族等问题进行排查。融安网络安全服务团队可提供7*24小时安全值守、应急响应和安全服务支撑保障工作,为客户的业务保驾护航。发布于 2022-08-16 09:17黑客 (Hacker)勒索病毒赞同 1添加评论分享喜欢收藏申请
勒索病毒 - 知乎
勒索病毒 - 知乎首页知乎知学堂发现等你来答切换模式登录/注册勒索病毒勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解…查看全部内容关注话题管理分享百科讨论精华视频等待回答简介勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。 2017年12月13日,“勒索病毒”入选国家语言资源监测与研究中心发布的“2017年度中国媒体十大新词语”。 2018年3月,国家互联网应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产和手机安全均造成严重威胁。更多信息中文名勒索病毒外文名Ransomware原理利用各种加密算法对文件进行加密性质不可逆解密病毒开发者本人警惕程度★★★★☆数据由搜狗百科提供查看百科全文 百科摘录32018企业网络安全年度报告 | 勒索病毒、挖矿木马是企业安全两大核心下的内容摘录埃文科技已认证账号勒索病毒,是2018年破坏性最强影响面最广的一类恶意程序,通常是通过恐吓、绑架用户文件或破坏用户计算机等方式,向用户勒索钱财。早期的勒索病毒通常是通过钓鱼邮件、社工等方式传播,通常传播规模量比较小,随着2017年NSA方程式工具泄露,“永恒之蓝”工具被大量利用,加之近年数字加密币的流行,勒索病毒感染正处于愈演愈烈的态势。知乎小知 摘录于 2020-04-24安恒信息:勒索病毒专防专杀组合拳下的内容摘录安恒信息勒索病毒,是一种新型 电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。勒索病毒利用各种非对称加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。勒索病毒的变种很多,其恶意行为性质恶劣、危害极大,一旦感染之后未能及时处置的话,将给用户带来无法估量的损失。目前勒索病毒及其变种已经在各行各业泛滥,涉及国计民生的重要行业,比如医疗、交通、政府机构、重要企业等均能幸免。知乎小知 摘录于 2020-04-24如何看待 AI 换脸软件「ZAO」的爆火?下的回答内容摘录浩哥有料极客范儿的斜杠青年勒索病毒是目前为数不多的借助技术手段劫持用户、获取暴利的黑产手段,防治勒索病毒也是目前全球安全团队都在努力攻克的难题。对于普通民众来说,具备基本的网络安全意识是必不可少的,这是预防这类技术攻击最有效的手段。知乎小知 摘录于 2020-04-24浏览量4991 万讨论量5.6 万 帮助中心知乎隐私保护指引申请开通机构号联系我们 举报中心涉未成年举报网络谣言举报涉企虚假举报更多 关于知乎下载知乎知乎招聘知乎指南知乎协议更多京 ICP 证 110745 号 · 京 ICP 备 13052560 号 - 1 · 京公网安备 11010802020088 号 · 京网文[2022]2674-081 号 · 药品医疗器械网络信息服务备案(京)网药械信息备字(2022)第00334号 · 广播电视节目制作经营许可证:(京)字第06591号 · 服务热线:400-919-0001 · Investor Relations · © 2024 知乎 北京智者天下科技有限公司版权所有 · 违法和不良信息举报:010-82716601 · 举报邮箱:jubao@zhihu.
什么是勒索病毒?有哪些危害?如何预防?
什么是勒索病毒?有哪些危害?如何预防?
首页
网络服务
计费
邮件
VPN
虚拟机
域名管理
高性能计算
六维空间
在线电视
信息化建设
一网通办
管理体制
建设成果
网络安全
专题活动
政策法规
安全服务
安全通报
漏洞预警
安全知识
安全常识
安全文档
普法解读
安全案例
党建工作
支部概况
支部计划
制度规范
支部新闻
规章制度
国家级
教育部级
校级
信网办
关于我们
简介
组织架构
报修与支持
现行相关政策
办公地点
IT服务门户
什么是勒索病毒?有哪些危害?如何预防?
发布时间:2022-01-14浏览次数:19095
勒索病毒是泛指一切通过锁定被感染者计算机系统或文件并施以敲诈勒索的新型计算机病毒,通过计算机漏洞、邮件投递、恶意木马程序、网页后门等方式进行传播,一旦感染,磁盘上几乎所有格式的文件都会被加密,造成企业、学校和个人用户大量重要文件无法使用甚至外泄,严重影响日常工作和生活。一般被勒索病毒感染后,将导致重要文件无法读取、关键数据被损坏、计算机被锁死无法正常使用等情况;为了指引被感染者缴纳赎金,勒索病毒还会在桌面等明显位置生成勒索提示文件,被感染者需要通过缴纳高额赎金才能获取解密密钥恢复计算机系统和数据文件的正常使用,多数情况即使缴纳了高额的赎金也未必能正常恢复数据。因此,勒索病毒具有数据恢复代价大和数据恢复可能性极低的特点。常见勒索病毒传播途径:1.网站挂马。用户浏览挂有木马病毒的网站,上网终端计算机系统极可能被植入木马并感染上勒索病毒。2.邮件传播。邮件传播是目前互联网上常见的病毒传播方式。攻击者通过利用当前热门字样,在互联网上撒网式发送垃圾邮件、钓鱼邮件,一旦收件人点开带有勒索病毒的链接或附件,勒索病毒就会在计算机后台静默运行,实施勒索。3.漏洞传播。通过计算机操作系统和应用软件的漏洞攻击并植入病毒是近年来流行的病毒传播方式。最典型的案例是2017年在国内泛滥的WannaCry大规模勒索事件,攻击者正是利用微软445端口协议漏洞,进行感染传播网内计算机。4.捆绑传播。攻击者将勒索病毒与其他软件尤其是盗版软件、非法破解软件、激活工具进行捆绑,从而诱导用户点击下载安装,并随着宿主文件的捆绑安装进而感染用户的计算机系统。5.介质传播。攻击者通过提前植入或通过交叉使用感染等方式将携有勒索病毒的U盘、光盘等介质进行勒索病毒的移动式传播。此种传播途径往往发生在文印店、公共办公区域等高频交叉使用可移动存储介质的场所,也可能通过广告活动派发、街区丢弃等方式实现诱导用户使用携带勒索病毒的U盘、光盘。携带勒索病毒的光盘、U盘一旦接入计算机,勒索病毒即可能随着其自动运行或用户点击运行导致计算机被感染。预防,是对付勒索病毒最为有效的手段!防护建议:1.定期做好重要数据、文件的备份工作;2.及时更新升级操作系统和应用软件,修复存在的中高危漏洞;3.安装正版杀毒软件并及时升级病毒库,定期进行全面病毒扫描查杀;4.在系统中禁用U盘、移动硬盘、光盘的自动运行功能,不要使用/打开来路不明的U盘、光盘、电子邮件、网址链接、文件;5.避免使用弱口令,为每台服务器和终端设置不同口令,且采用大小写字母、数字、特殊字符混合的高复杂度组合结构,口令位数应8位以上;6.不要在网上下载安装盗版软件、非法破解软件以及激活工具。信息来源:北京理工大学、网安学社
Copyright© 东北大学信息化建设与网络安全办公室
地址:辽宁省沈阳市文化路3巷11号东北大学计算中心
“智慧东大”APP客户端
东北大学微信企业号
什么是勒索病毒? - 知乎
什么是勒索病毒? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册勒索病毒Wana Decrypt0r 2.0(计算机病毒)什么是勒索病毒?勒索病毒的症状是什么显示全部 关注者6被浏览5,857关注问题写回答邀请回答好问题添加评论分享7 个回答默认排序全云在线cloudallonline已认证账号 关注文章来源:全云在线 一、什么是勒索病毒?勒索病毒(Ransomware)是一种非法的软件,它能够将用户的数据加密,要求支付赎金来解密。它通常会在用户打开恶意邮件或文件时被下载到计算机上。一旦开始运行,它会立即开始加密用户的文件,并要求用户付费才能解密文件。预防勒索病毒勒索病毒可以使用多种方式来进行传播,包括通过电子邮件,文件共享,社交网络和聊天客户端等。勒索病毒也可以通过网络钓鱼来传播,这种攻击方式会欺骗用户点击一个恶意链接或下载一个恶意文件,从而感染计算机。勒索病毒也可以通过暴力攻击技术来传播,这种攻击技术通常使用暴力破解工具来猜测用户的密码,一旦猜测成功,就可以访问用户的系统并且安装勒索病毒。勒索病毒的目的是要求用户支付赎金以解密文件,但是用户支付赎金也不一定能够解密文件。因此,用户应该采取措施预防勒索病毒的传播,例如安装杀毒软件,定期备份数据,不要点击未知来源的链接,不要打开未知的文件等。二、数据库中了勒索病毒怎么办?勒索病毒是一种新型的计算机病毒,它会给电脑系统带来极大的损害。一旦感染了这种病毒,电脑系统中的重要数据就会被加密,并且被病毒的发送者要求缴纳赎金,以解密数据。当发现数据库中被勒索病毒感染时,首先要采取的措施是把数据库服务器完全断开网络连接,以防止病毒感染其他服务器。其次,要立即备份数据库中的所有数据,以防止因数据丢失而无法恢复。再次,应尽快找到病毒的根源并确定特征,以便采取有效的措施来清除它。清除勒索病毒的最佳方法是使用专业的反病毒软件,如McAfee或Norton等。这些软件可以扫描数据库,并对发现的病毒进行杀毒。此外,可以使用一些安全工具,例如系统安全扫描器,查找系统中的潜在漏洞,并及时修复。另外,要加强安全防护措施,并建立定期的备份机制,以防止发生勒索病毒感染的情况。建议定期备份数据,并将备份数据存放在安全的服务器上,或者在外部设备上。同时,还要定期更新系统的安全补丁,以及安装安全软件以防止恶意程序的入侵。总之,当数据库中发现被勒索病毒感染时,要立即采取相应的措施,以避免更大的损失。应采取措施把病毒清除,并加强安全措施,以预防类似的情况发生。三、勒索病毒防护解决方案:针对以上事前、事中、事后三个难题,其实勒索病毒防护+保险解决方案就能从这三方面为客户提供勒索防治及保险服务。勒索病毒防护+保险解决方案,产品保障、服务贯穿、保险兜底,最大化避免勒索风险,让勒索病毒来了都要说:溜了溜了!发布于 2023-01-11 17:25赞同 1添加评论分享收藏喜欢收起数据恢复中心团队 预控 技术 风险 关注什么是.halo勒索病毒?在2023年初,一种新的勒索病毒开始在网络上传播,它的名字叫做.halo勒索病毒。这种病毒属于BeijngCrypt勒索病毒家族,它会通过远程桌面爆破、数据库端口攻击、垃圾邮件等方式入侵目标设备,然后加密设备上的文件,并在文件名后添加.halo扩展名。如果您不幸感染了这种病毒,您应该如何应对呢?数据还有没有可能恢复呢?本文将为您介绍一些相关的知识和建议。技术咨询(JF_010101) .halo勒索病毒是一种恶意软件,它会加密用户的文件并要求用户支付赎金才能解密文件。勒索病毒通常通过 电子邮件、恶意软件下载、漏洞利用和恶意广告等方式传播。当用户打开了一个包含勒索病毒的文件时,勒索病毒 会开始加密用户的文件,并在加密完成后显示一个勒索信息,要求用户支付一定数量的加密货币才能恢复文件。 如何感染的? .halo勒索病毒是通过多种方式传播感染的,其中最常见的有以下几种:-远程桌面口令爆破:黑客利用弱口令或者暴力破解的方式,尝试登录目标设备的远程桌面服务,一旦成功登录,就可以释放并执行勒索病毒。因此,建议您关闭不必要的远程桌面服务,或者使用强口令和多重认证来保护远程桌面服务。-数据库弱口令攻击:黑客利用弱口令或者暴力破解的方式,尝试登录目标设备的数据库服务,一旦成功登录,就可以释放并执行勒索病毒。因此,建议您使用复杂且无规律的密码来保护数据库服务,并定期更换密码。-垃圾邮件附件或链接:黑客通过发送伪装成正常邮件的垃圾邮件,诱骗用户打开附件或点击链接,从而感染勒索病毒。因此,建议您不要轻信来自陌生人或可疑来源的邮件,不要随意打开附件或点击链接,尤其是那些要求输入个人信息或下载软件的邮件。-恶意软件下载或更新:黑客通过在一些不安全的网站或下载平台上植入恶意软件,诱骗用户下载或更新软件,从而感染勒索病毒。因此,建议您只从官方或可信赖的网站或平台上下载或更新软件,并使用杀毒软件扫描下载或更新前后的文件。-网络漏洞利用:黑客利用目标设备上存在的网络漏洞,如Web应用漏洞、操作系统漏洞等,进行远程攻击,从而感染勒索病毒。因此,建议您及时更新您的Web应用、操作系统和其他软件,并修复已知的漏洞。感染后如何处理?断网连接:将感染病毒的设备断开互联网连接,以防止病毒继续传播或与攻击者通信。恢复数据:如果您有最新的数据备份,您可以使用备份数据恢复您的文件。寻求专业帮助:可寻求专业数据恢复公司的帮助,千万不要擅自进行文件后缀修改或者使用各种数据恢复软件进行操作,这将会二次破坏文件内容,可能导致后期数据无法恢复。如果受感染的数据确实有恢复的价值与必要性,可联系我们进行免费排查获取数据恢复的相关帮助。安全防御建议预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。⑦ 尽量关闭不必要的文件共享。⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。技术咨询(JF_010101)发布于 2023-06-26 14:37赞同添加评论分享收藏喜欢
什么是勒索病毒?有哪些危害?如何预防?-沈阳航空航天大学信息中心
什么是勒索病毒?有哪些危害?如何预防?-沈阳航空航天大学信息中心
Open Menu
首页
返回上一级
通知公告
新闻公告
返回上一级
部门新闻
部门简介
规章制度
返回上一级
学校制度
信息化标准
信息安全
返回上一级
办事指南
返回上一级
校园一卡通
沈航邮箱
VPN服务
网站群建设管理
虚拟服务器申请说明
域名申请说明
服务器托管申请说明
网盘申请说明
校园网常见问题
校园网流量申请说明
业务系统数据集成申请说明
智慧沈航应用申请说明
共享数据申请说明
第三方应用接入移动门户平台申请说明
下载中心
操作指南
联系我们
首页
新闻公告
部门通知
部门新闻
部门简介
规章制度
国家制度
学校制度
信息化标准
信息安全
信息安全预警
办事指南
校园网服务
校园一卡通
沈航邮箱
VPN服务
网站群建设管理
虚拟服务器申请说明
域名申请说明
服务器托管申请说明
网盘申请说明
校园网常见问题
校园网流量申请说明
业务系统数据集成申请说明
智慧沈航应用申请说明
共享数据申请说明
第三方应用接入移动门户平台申请说明
下载中心
操作指南
联系我们
部门通知
部门通知
部门新闻
首页
>
新闻公告
>
部门通知
>
正文
什么是勒索病毒?有哪些危害?如何预防?
时间:2022-01-18 10:58:29
浏览量:
打印
勒索病毒是泛指一切通过锁定被感染者计算机系统或文件并施以敲诈勒索的新型计算机病毒,通过计算机漏洞、邮件投递、恶意木马程序、网页后门等方式进行传播,一旦感染,磁盘上几乎所有格式的文件都会被加密,造成企业、学校和个人用户大量重要文件无法使用甚至外泄,严重影响日常工作和生活。
一般被勒索病毒感染后,将导致重要文件无法读取、关键数据被损坏、计算机被锁死无法正常使用等情况;为了指引被感染者缴纳赎金,勒索病毒还会在桌面等明显位置生成勒索提示文件,被感染者需要通过缴纳高额赎金才能获取解密密钥恢复计算机系统和数据文件的正常使用,多数情况即使缴纳了高额的赎金也未必能正常恢复数据。因此,勒索病毒具有数据恢复代价大和数据恢复可能性极低的特点。
常见勒索病毒传播途径:
1.网站挂马。用户浏览挂有木马病毒的网站,上网终端计算机系统极可能被植入木马并感染上勒索病毒。
2.邮件传播。邮件传播是目前互联网上常见的病毒传播方式。攻击者通过利用当前热门字样,在互联网上撒网式发送垃圾邮件、钓鱼邮件,一旦收件人点开带有勒索病毒的链接或附件,勒索病毒就会在计算机后台静默运行,实施勒索。
3.漏洞传播。通过计算机操作系统和应用软件的漏洞攻击并植入病毒是近年来流行的病毒传播方式。最典型的案例是2017年在国内泛滥的WannaCry大规模勒索事件,攻击者正是利用微软445端口协议漏洞,进行感染传播网内计算机。
4.捆绑传播。攻击者将勒索病毒与其他软件尤其是盗版软件、非法破解软件、激活工具进行捆绑,从而诱导用户点击下载安装,并随着宿主文件的捆绑安装进而感染用户的计算机系统。
5.介质传播。攻击者通过提前植入或通过交叉使用感染等方式将携有勒索病毒的U盘、光盘等介质进行勒索病毒的移动式传播。此种传播途径往往发生在文印店、公共办公区域等高频交叉使用可移动存储介质的场所,也可能通过广告活动派发、街区丢弃等方式实现诱导用户使用携带勒索病毒的U盘、光盘。携带勒索病毒的光盘、U盘一旦接入计算机,勒索病毒即可能随着其自动运行或用户点击运行导致计算机被感染。
预防,是对付勒索病毒最为有效的手段!
防护建议:
1.定期做好重要数据、文件的备份工作;
2.及时更新升级操作系统和应用软件,修复存在的中高危漏洞;
3.安装正版杀毒软件并及时升级病毒库,定期进行全面病毒扫描查杀;
4.在系统中禁用U盘、移动硬盘、光盘的自动运行功能,不要使用/打开来路不明的U盘、光盘、电子邮件、网址链接、文件;
5.避免使用弱口令,为每台服务器和终端设置不同口令,且采用大小写字母、数字、特殊字符混合的高复杂度组合结构,口令位数应8位以上;
6.不要在网上下载安装盗版软件、非法破解软件以及激活工具。
初审一校丨郑晨溪
复审二校丨滕一平
终审三校丨仲丛久
编 辑 丨陈论
上一条:沈阳航空航天大学推荐供应商项目 遴选公告
下一条:关于“智慧沈航”用户更换手机号的问题处理
快速通道
校园网服务
校园一卡通
VPN服务
虚拟服务器申请说明
沈航邮箱
服务器托管申请说明
网盘申请说明
分享到:
微信
更多
数据业务服务部
服务热线:89728932
办公地点:图书馆 916
综合业务服务部
服务热线:89728925
办公地点:图书馆 919
基础业务服务部
服务热线:89728873
办公地点:图书馆 917
综合服务大厅
服务热线:89724302
办公地点:图书馆 920
主任办公室
服务热线:89728716
办公地点:图书馆 918
校园一卡通
服务热线:89724302
办公地点:南门收发室二楼;图书馆 920
CopyRight © 沈阳航空航天大学 智慧学校办公室(信息网络中心)All rights reserved
今日访问人数:
总访问人数:
友情链接: 沈阳航空航天大学
国家网络安全和信息化委员会
中华人民共和国教育部
中华人民共和国工信部
一文读懂勒索攻击:特征、趋势与挑战_腾讯新闻
一文读懂勒索攻击:特征、趋势与挑战_腾讯新闻
一文读懂勒索攻击:特征、趋势与挑战
作者
翟尤腾讯研究院产业安全中心主任、高级研究员
1989年,哈佛大学学生约瑟夫·L·波普制作了全球首个勒索病毒—AIDS木马,这位哈佛高材生将勒索病毒隐藏在软盘中并分发给国际卫生组织艾滋病大会的参会者。此款勒索病毒会记录用户设备重启次数,一旦超过90次就会对电脑中的文件进行加密,并要求邮寄189美元才能解密重新访问系统。虽然“名牌大学生恶作剧+邮寄支付赎金”的标签在今天看来既没有多大危害,也不够专业,但勒索病毒发起的对经济社会的攻击,在此后的30多年中逐渐演变为让人闻之色变的网络攻击浪潮。
勒索攻击从恶作剧向
专业组织化网络攻击演变
勒索攻击又称为“赎金木马”,是指网络攻击者通过对目标数据强行加密,导致企业核心业务停摆,以此要挟受害者支付赎金进行解密。如同我们把钱放在保险箱,小偷没有撬开保险箱偷钱,反而把放保险箱的房间加了把锁。如果没有房间的钥匙,我们依然拿不到保险箱里的钱。勒索攻击发展历程并不长,在30多年的发展过程中,主要经历三个阶段:1989至2009年是勒索攻击的萌芽期,在这20年中,勒索攻击处于起步阶段,勒索攻击软件数量增长较为缓慢,且攻击力度小、危害程度低。2006年我国首次出现勒索攻击软件。2010年以后,勒索软件进入活跃期,几乎每年都有变种出现,其攻击范围不断扩大、攻击手段持续翻新。2013年以来,越来越多的攻击者要求以比特币形式支付赎金;2014年出现了第一个真正意义上针对Android平台的勒索攻击软件,标志着攻击者的注意力开始向移动互联网和智能终端转移。勒索攻击在2015年后进入高发期,2017年WannaCry勒索攻击在全球范围内大规模爆发,至少150个国家、30万名用户受害,共计造成超过80亿美元的损失,至此勒索攻击正式走入大众视野并引发全球关注。
勒索攻击典型特征与案例
近年来勒索攻击席卷全球,几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受到影响,可以说有互联网的地方就可能存在勒索攻击。2021年5月,美国17个州能源系统受到勒索攻击,导致美国最大的燃料管道运营商Colonial关闭约8851公里的运输管道,犯罪分子在短时间内获取了100G数据,并锁定相关服务器等设备数据,要求支付75个比特币作为赎金(相当于440万美元)。勒索攻击已经成为未来一段时期网络安全的主要威胁。总的来看,勒索攻击有4个显著特征:
(一) 隐蔽性强且危害显著
勒索攻击善于利用各种伪装达到入侵目的,常见的传播手段有借助垃圾邮件、网页广告、系统漏洞、U盘等。隐蔽性是勒索攻击的典型攻击策略。在入口选择上,攻击者以代码仓库为感染位置对源代码发动攻击;在上线选择上,宁可放弃大量的机会也不愿在非安全环境上线;在编码上,高度仿照目标公司的编码方式和命名规范以绕过复杂的测试、交叉审核、校验等环节。此外,攻击者往往在发动正式攻击之前就已控制代码仓库,间隔几个月甚至更长时间才引入第一个恶意软件版本,其潜伏时间之长再一次印证了勒索攻击的高隐蔽性。
调查发现,某些勒索攻击事件的制造者利用尚未被发现的网络攻击策略、技术和程序,不仅可以将后门偷偷嵌入代码中,而且可以与被感染系统通信而不被发现。这些策略、技术和程序隐藏极深且很难完全从受感染网络中删除,为攻击活动细节的调查取证和后续的清除工作带来巨大的挑战。此外,勒索攻击一般具有明确的攻击目标和强烈的勒索目的,勒索目的由获取钱财转向窃取商业数据和政治机密,危害性日益增强。
(二) 变异较快且易传播
目前活跃在市面上的勒索攻击病毒种类繁多呈现“百花齐放”的局面,而且每个家族的勒索病毒也处于不断地更新变异之中。2016年勒索软件变种数量达247个,而2015年全年只有29个,其变体数量比上一年同期增长了752%。变体的增多除了依赖先进网络技术飞速发展以外,还与网络攻击者“反侦查”意识的增强相关。很多勒索软件编写者知道安全人员试图对其软件进行“逆向工程”,从而不断改进勒索软件变体以逃避侦查。比如爆发于2017年的WannaCry,在全球范围蔓延的同时也迅速出现了新的变种——WannaCry 2.0,与之前版本的不同是,这个变种不能通过注册某个域名来关闭传播,因而传播速度变得更快。
(三) 攻击路径多样化
近年来越来越多的攻击事件表明,勒索攻击正在由被动式攻击转为主动式攻击。以工业控制系统为例,由于设计之初没有考虑到海量异构设备以及外部网络的接入,随着开放性日益增加,设备中普遍存在的高危漏洞给了勒索攻击以可乘之机,一旦侵入成功即可造成多达数十亿台设备的集体沦陷。随着远程监控和远程操作加快普及并生产海量数据,网络攻击者更容易利用系统漏洞发动远程攻击,实现盗取数据、中断生产的目的。为了成功绕过外部安装的防火墙等安全设施,不少勒索攻击诱导企业内部员工泄露敏感信息。除了针对运营管理中存在的薄弱环节,勒索攻击还在设备安装过程中利用内置漏洞进行横向渗透,一旦发现系统已有漏洞则立即感染侵入。
(四) 攻击目标多元化
一方面是从电脑端到移动端。勒索病毒大多以电脑设备为攻击目标,其中Windows操作系统是重灾区。但随着移动互联网的普及,勒索攻击的战场从电脑端蔓延至移动端,并且有愈演愈烈的趋势。俄罗斯卡巴斯基实验室检测发现,2019年针对移动设备用户个人数据的攻击达67500个,相比2018年增长了50%。同年卡巴斯基移动端产品共检测到350多万个恶意安装软件包,近7万个新型移动端银行木马和6.8万多个新型移动端勒索软件木马。
另一方面是从个人用户到企业设备。个人设备在勒索软件攻击目标中一直占据较高比例,但随着传统勒索软件盈利能力的持续下降,对更高利润索取的期待驱使网络攻击者将目标重点聚焦在政府或企业的关键业务系统和服务器上。比如在今年7月16日发生的国家级勒索事件中,厄瓜多尔最大网络运营商CNT遭遇勒索软件RansomEXX的攻击,致使其业务运营、支付门户及客户支持全部陷入瘫痪,犯罪团伙声称已经取得190GB的数据,并在隐藏的数据泄露页面上分享了部分文档截图。
随着AI、5G、物联网等技术的快速普及和应用,以及加密货币的持续火爆,勒索攻击呈现出持续高发态势,全球大量知名企业都曾遭到勒索攻击并导致经济和声誉损失。据《2020年我国互联网网络安全态势综述》统计,2020年我国全年捕获勒索病毒软件78.1万余个,较2019年同比增长6.8%。据Cybersecurity Adventure统计,2021年全球勒索软件破坏成本预计将达到200亿美元,高于2015年3.25亿美元的61倍。
勒索攻击7大趋势特点
(一) 影响社会正常运转且难解密
勒索攻击对社会正常运转带来较大挑战。在民生方面,大型企业遭到勒索攻击严重影响民众正常生活。2021年5月全球最大的肉类供应商JBS遭到勒索病毒攻击,部分牛羊屠宰加工厂停摆,美国肉类批发价格出现上涨,使得本就受到疫情冲击的全球食品供应链雪上加霜。在医疗卫生方面,勒索攻击不但造成巨额经济损失,同时也威胁到病人生命安全。2020年9月,德国杜塞尔多夫医院30多台内部服务器遭到勒索攻击,一位前来寻求紧急治疗的妇女被迫转送至其他医院后死亡。这是公开报道的第一起因勒索攻击导致人死亡的事件。国内也出现过类似的勒索攻击事件,如某建筑设计院遭遇勒索病毒攻击,数千台电脑文件被加密,工程图纸无法访问,损失惨重。
勒索攻击使用的加密手段越来越复杂多样,绝大多数不能被解密。业内专家普遍认为遭受勒索攻击之后,没有“特效药”。受害者往往需要在支付巨额赎金和数据恢复重建中做出选择。即使一些勒索攻击采用的加密算法是公开的,但是依靠现有的算力或者是通过暴力破解的方式也难以进行解密,因为暴力解密往往需要上百年的时间。
(二) 勒索攻击SaaS化
随着云计算、人工智能等新技术的快速普及和应用,勒索软件即服务成为当前网络攻击的新模式。勒索软件黑色产业层级分明,全链条协作,开发者只管更新病毒,拓展传播渠道大肆释放勒索病毒,各级分销参与者点击鼠标就能从中瓜分利润。这种黑色产业分销模式大大降低了勒索攻击的传播门槛,使网络安全风险快速扩散。例如,依靠这种黑产模式,某勒索攻击软件仅用一年多时间就敛财20亿美元。
勒索攻击从制作、传播、攻击到收益呈现系统化、便捷化趋势,开发者可以提供一整套解决方案,甚至包括利用加密货币进行赎金支付等服务。这些解决方案具有“开箱即用”的便捷性,犯罪分子获得勒索病毒后,可以通过多种渠道进行传播并获利,攻击模式更为便捷。此外,攻击者往往并不需要任何编程技术就可以开展违法犯罪活动,理论上任何人只要支付少量费用就可以通过这类服务开展勒索攻击,导致网络攻击的门槛大幅降低。
(三) 加密货币普及助推赎金额度快速增长
勒索病毒的制造者对赎金的要求越来越高。2017年在全球140多个国家和地区迅速蔓延的WannaCry勒索病毒赎金仅为300美元,4年后勒索病毒要求企业支付的赎金则大多在上百万美元, Sodinokibi勒索病毒在2019年前后出现在中国时,索要金额仅7000元人民币,到了2020年,该团伙的勒索金额已动辄千万美元以上。例如2020年3月,计算机巨头宏碁公司被要求支付5000万美元赎金;2020年11月,富士康墨西哥工厂被要求支付超过3400万美元赎金。
高额赎金不仅让犯罪分子赚得盆满钵满,同时可以借此招揽更多人铤而走险加入勒索攻击行列。加密货币近年来成为社会关注的焦点,尤其是加密货币的匿名化导致监管部门很难对其进行管理。犯罪分子利用加密货币这一特点,有效隐匿其犯罪行径,导致网络攻击门槛降低、变现迅速、追踪困难,一定程度上成为网络犯罪快速增长的“助推剂”。
(四) 大型企业和基础设施成为攻击重点
传统勒索病毒攻击者使用广撒网、误打误撞的手法,这种无差别攻击很难预测受害者是谁,哪些受害者有价值。同时,普通用户的数据价值相对不高,且缴纳赎金的意愿并不强烈。近年来,勒索攻击对象涉及面越来越广,目前主要针对掌握大量数据的大型企业,且定向精准攻击趋势愈发明显,勒索攻击日趋APT化。所谓APT化,即攻击不计成本、不择手段,从低权限帐号入手,持续渗透攻击,直到控制企业核心服务器,再释放勒索病毒,使巨型企业彻底瘫痪。此外,勒索攻击APT化还意味着攻击者入侵后会首先窃取该企业的核心数据,即使企业使用备份恢复系统,核心机密泄露也会导致极其严重的损失。波音公司、台积电、富士康、全球最大的助听器制造商Demant、法国最大商业电视台M6 Group都曾成为被攻击对象。BlackFog研究发现,2020年勒索攻击主要针对政府部门、制造业、教育和医疗保健等行业。
同时,攻击者开始针对特定企业有针对性地制定攻击策略,哪些企业掌握大量有价值的数据,哪些企业就越容易遭到攻击。针对目标企业,攻击者手法更加多样化、对高价值目标的攻击进行“量身定做”,形成一整套攻击“组合拳”。对于大型企业来讲,网络节点和上下游关联企业与供应商都成为潜在的攻击漏洞,产业链中安全薄弱环节均成为攻击者实现突破的关键点。许多企业为了避免业务被中断,往往选择支付巨额赎金。
(五) “双重勒索”模式引发数据泄露风险
时至今日,勒索攻击已经从单纯的支付赎金即可恢复被加密的数据,逐渐演变成先窃取商业信息和内部机密,而后威胁企业不缴纳赎金将公开数据,这种新模式也被称为“双重勒索”。这样一来,不仅使得勒索攻击杀伤性增强,被勒索企业缴纳赎金的可能性变大,诱使勒索攻击者发动更多攻击,而且极易引发大规模的行业内部数据泄露事件,使得受害企业同时承受数据公开、声誉受损、行政处罚等多重压力。
据不完全统计,自2019年11月首次公开报道勒索病毒窃取数据的事件以来,不到一年时间里,有超过20个流行勒索病毒团伙加入到数据窃取的行列中。以Maze(迷宫)勒索攻击为例,它不仅最先开始系统性地窃取数据,还以泄露数据相逼要挟用户缴纳赎金。越来越多的勒索事件表明,“双重勒索”模式已成为现今网络攻击者实施攻击的重要手段。
(六) 供应链成为勒索攻击的重要切入点
供应链攻击作为一种新型攻击手段,凭借自身难发现、易传播、低成本、高效率等特点成功跻身最具影响力的高级威胁之列。供应链攻击一般利用产品软件官网或软件包存储库等进行传播,网络攻击一旦成功攻陷上游开发环节的服务器,便会引发连锁效应,波及处于供应链中下游的大量企业、政府机构、组织等。由于被攻击的应用软件仍然来自受信任的分发渠道,恶意程序将随着软件的下载安装流程悄无声息地入侵目标电脑,逃避传统安全产品检查的同时又可沿供应链发动向后渗透攻击,大大增加安全检测的难度。
近年来供应链攻击备受关注。2017年6月一家不知名的乌克兰软件公司遭受勒索攻击,勒索病毒通过软件公司服务器传播到数家全世界最大的企业之中,令其运营陷入瘫痪,造成全球范围内约100亿美元的损失。2021年7月,美国软件开发商Kaseya遭勒索攻击,网络攻击团伙索要高达7000万美元的赎金,有评论称此次事件可能成为2021年影响最大的供应链攻击事件。
(七) 引发网络保险行业的恶性循环
美国战略与国际研究中心与杀毒软件供应商迈克菲联合发布的一份报告指出,估计每年全球网络攻击所带来的损失将达9450亿美元,再加上约1450亿美元的网络防护支出费用,总经济成本将超过1万亿美元。高额的网络攻击成本催生了对网络风险保险的庞大需求市场,根据预测,到2025年网络风险保险费用将从2016年的32.5亿美元上升到200亿美元。伦敦再保险经纪商Willis Re透露,今年7月保单更新季,网络安全相关保险费率将迎来40%的大幅增长。
然而网络保险行业欣欣向荣的表象下,却潜藏着巨大的恶性循环危机。由于最近几个月来全球几大公司接连遭到灾难性的勒索攻击,越来越多的企业向网络保险和再保险公司寻求帮助,网络攻击者特意挑选投保了网络保险的公司作为攻击目标,更加有针对性地实施勒索攻击,使得网络犯罪的成功率大幅提升,整体网络环境面临加速恶化的窘境。为遏制这一情况的继续恶化,已有多家公司开始缩减网络保险覆盖范围,法国正在考虑强制所有网络保险商停止报销赎金支出,以切断网络犯罪这一有利可图的途径。
提高预防意识并
构建前置安全是关键
由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性,并不建议将防治重点放在遭受攻击后的解密环节,而应该着重做好预防工作,不给勒索病毒以可乘之机。
从个人用户来讲,增强员工安全意识与加强数据备份同等重要:一方面要增强安全意识。对于可疑的邮件尤其是附带的网址不建议随意点开,同时系统提示的安装补丁或者软件病毒库要保持及时更新。另一方面,对于使用了非对称加密算法加密的文件,目前尚未找到有效的破解方法,一旦计算机遭到此类新型勒索病毒的攻击只能束手待毙,因而必须在平日里就做好重要数据的备份工作,且最好使用本地磁盘和云服务器双备份的策略。
从企业用户来讲,解决勒索攻击的核心是构建“安全能力前置”,提升自身的“免疫力”:
1.“安全能力前置”成为企业必选项。企业数字化程度越高,潜在的安全风险也就越大,甚至会有致命风险。被动防御性的安全思路难以应对多样化、动态化的网络攻击。因此,一方面要利用AI、大数据、云计算等新技术实现安全能力在业务环节的前置,提前预判潜在安全风险,另一方面要对安全专家或人才能力量化,使过往积累的安全经验与能力标准化、流程化,以实现安全能力的量化部署。
2.构建云上安全提升安全防御能力。产业互联网时代安全威胁逐步扩大,企业在应对勒索攻击时,数据备份和恢复的重要性进一步凸显。云原生安全所具备的开箱即用、自适应等显著优势将成为保障云平台和云上业务安全的重要基础。一方面云原生安全将构建安全服务全生命周期防护,伴随云上业务发展全过程。另一方面云上安全产品将向模块化、敏捷化和弹性化演进,为用户提供差异化服务,成为兼顾成本、效率和安全的“最优解”。
3.零信任有望成为勒索攻击有效解决途径。零信任假定所有身份、设备和行为都是不安全的,即使曾经有过被“信任”的经历也要一视同仁,在接入时需要进行全程安全验证和检查。攻击者使用窃取到的账号信息登录VPN或其他内部业务平台时,由于零信任采用多因子用户验证(即只有账号密码还不够,需要配合短信验证码、token、人脸识别等),即使攻陷了企业的一台服务器,也无法致使勒索攻击扩散到其他服务器。零信任体系还能有效阻止黑客入侵后在内网扩散。攻击者可能控制某些脆弱的单点,当其通过已攻击的终端向网络内部更重要系统渗透时,零信任的安全机制可以及时检测到风险,从而帮助企业将风险控制在最小限度,不至于发生全网崩溃的严重后果。
4. 打好保障供应链安全的“组合拳”。一方面,须加强代码审计与安全检查。机构组织可向供应商索要清单,列明其使用的所有代码组件,以识别与开源组件漏洞有关的潜在风险。此外还可以考虑在实施代码前,增加额外的自动化或手工检查,并利用第三方工具对软件及相关产品源代码进行详细的安全分析。另一方面,加快推动建立零信任架构等安全防护机制。供应链攻击暴露出网络安全架构最大的缺陷就是过于信任。而零信任架构意味着每个试图访问网络资源的人都要进行验证,其访问控制不仅能应用于用户,也适用于服务器设备与各类应用,以防止第三方供应商获得不必要的特权,从而降低恶意软件的渗透风险。
近期全球典型勒索攻击汇总表
数据来源:公开信息整理
参考文献:
[1]张晓玉,陈河.从SolarWinds事件看软件供应链攻击的特点及影响[J].网信军民融合,2021(04):37-40.
[2].瑞星2020年中国网络安全报告[J].信息安全研究,2021,7(02):102-109.
[3]李江宁,覃汐赫.工业领域的勒索攻击态势与应对思路[J].自动化博览,2021,38(01):86-90.
[4]张宝移.计算机勒索病毒及防治策略分析[J].技术与市场,2020,27(10):109-110.
[5]高红静.近年勒索软件威胁分析及防范策略综述[J].保密科学技术,2018(12):21-28.
[6]李易尚.勒索软件:过去、现在和未来[J].北京警察学院学报,2017(06):99-104.
[7]李建平.供应链安全:防不胜防的软肋[J].保密工作,2021,(04):58-59.
[8]嵇绍国.2020年勒索软件攻击情况及趋势预测[J].保密科学技术,2020(12):33-43.
[9]2021上半年勒索病毒趋势报告及防护方案建议,南方都市报,2021-5-10
[10] 门嘉平.勒索病毒防治策略浅析[J].网络安全技术与应用,2020(06):23-24.
[11]吴崇斌,成星恺.勒索软件发展现状及应对[J].通讯世界,2019,26(08):111-112.
[12].盘点2019年勒索病毒灾难事件[J].电脑知识与技术(经验技巧),2019(12):88-90.
打击勒索攻击,
扫码参与H5小游戏
测试你是哪种类型的极客?
/往期文章
你“在看”我吗?