“勒索病毒风靡全球,病毒肆虐,让企业和单位,包括个人蒙受损失,让大家闻风色变,俗话说:“兵来将挡水来土掩”,病毒虽然猖獗,但是大家平时做好安全防护措施,增加安全意识,不要轻易打开陌生的邮件,包括广告内容,及时更新系统和打系统漏洞补丁,还有使用移动存储设备的时候,要升级病毒库,查杀U盘。在使用移动存储设备,先查杀,后使用原则,做好以下措施,感染勒索病毒或者其他变异病毒,概率会大大降低。大家养成良好的操作习惯。以下是防范勒索病毒措施;Windows客户端和服务器端同样适用。”
一、病毒定义:
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
2017年12月13日,“勒索病毒”入选国家语言资源监测与研究中心发布的“2017年度中国媒体十大新词语”。
从2018年初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击,攻击次数高达1700万余次,且整体呈上升趋势。
二、传播途径:
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
通过漏洞发起的攻击占攻击总数的87.7%。由于win7、xp等老旧系统存在大量无法及时修复的漏洞,而政府、企业、学校、医院等局域网机构用户使用较多的恰恰是win7、xp等老旧系统,因此也成为病毒攻击的重灾区,病毒可以通过漏洞在局域网中无限传播。相反,win10系统因为强制更新,几乎不受漏洞攻击的影响。
通过邮件与广告推广的攻击分别为7.4%、3.9%。虽然这两类传播方式占比较少,但对于有收发邮件、网页浏览需求的企业而言,依旧会受到威胁。
此外,对于某些特别依赖U盘、记录仪办公的局域网机构用户来说,外设则成为勒索病毒攻击的特殊途径。
三、攻击对象:
勒索病毒一般分两种攻击对象,一部分针对企业用户(如xtbl,wallet),一部分针对所有用户。
四、病毒规律:
该类型病毒的目标性强,主要以邮件为传播方式。
勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥和私钥。然后,将加密公钥私钥写入到注册表中,遍历本地所有磁盘中的Office 文档、图片等文件,对这些文件进行格式篡改和加密;加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。
该类型病毒可以导致重要文件无法读取,关键数据被损坏,给用户的正常工作带来了极为严重的影响。
五、病毒分析
一般勒索病毒,运行流程复杂,且针对关键数据以加密函数的方式进行隐藏。以下为APT沙箱分析到样本载体的关键行为。
1、调用加密算法库。
2、通过脚本文件进行Http请求。
3、通过脚本文件下载文件。
4、读取远程服务器文件。
5、通过wscript执行文件。
6、收集计算机信息。
7、遍历文件。
六、病毒防御
1:关闭服务进程(杜绝445端口)
开始菜单-》控制面板-》管理工具-》服务-》Server,点击禁止,然后启动类型选择禁用。
2:注册表关闭勒索病毒服务
开始菜单-》运行-》REGEDIT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters新建DWORD键值,数值数据填写为0,基数选择十六进制,确定即可。
3:开启防火墙,防微杜渐过滤危险端口
开始菜单-》控制面板-》管理工具-》高级安全Windows Defender防火墙-》入站规则-》-》新建规则-》端口-》TCP-》特定本地端口-》阻止连接-》(域和专用还有公用)-》下一步-》名称和描述(比如135 & 135端口过滤阻止),其他端口过滤同上方法。
4:组策略安全设置ip安全策略
开始菜单-》运行-》gpedit.msc,打开本地组策略编辑器。依次展开“计算机配置---windows设置---安全设置---ip安全策略,在本地计算机”
以关闭139端口为例(其他端口操作相同):
在本地组策略编辑器右边空白处 右键单击鼠标,选择“创建IP安全策略”,弹出IP安全策略向导对话框,单击下一步;在出现的对话框中的名称处写“关闭端口”(可随意填写),点击下一步;对话框中的“激活默认响应规则”选项不要勾选,然后单击下一步;勾选“编辑属性”,单击完成。在出现的“关闭端口 属性”对话框中,选择“规则”选项卡,去掉“使用添加向导”前边的勾后,单击“添加”按钮。在出现的“关闭端口 属性”对话框中,选择“规则”选项卡,去掉“使用 添加向导”前边的勾后,单击“添加”按钮。出现添加对话框,名称出填“封端口”(可随意填写),去掉“使用添加向导”前边的勾后,单击右边的“添加”按钮. 在出现的“IP筛选器属性”对话框中,选择“地址”选项卡,“源地址”选择“任何”,“目标地址”选择“我的IP地址”;
选择“协议”选项卡,各项设置如图片中所示。设置好后点击“确定”。 返回到“ip筛选器列表”,点击“确定”。返回到“新规则 属性”对话框
在ip筛选器列表中选择刚才添加的“封端口”,然后选择“筛选器操作”选项卡,,去掉“使用 添加向导”前面的勾,单击“添加”按钮
在“筛选器操作 属性”中,选择“安全方法”选项卡,选择“阻止”选项;在“常规”选项卡中,对该操作命名,点确定.
选中刚才新建的“新建1”,单击关闭,返回到“关闭端口属性“对话框,确认“IP安全规则”中 封端口 规则被选中后,单击 确定。
在组策略编辑器中,可以看到刚才新建的“关闭端口”规则,选中它并单击鼠标右键,选择“分配”选项,使该规则开始应用!
到此,大功告成,同样的方法你可以添加对任何你想限制访问的端口的规则。
“综上所述:增加个人网络安全意识,养成良好的上网习惯和日常操作习惯,安装杀毒软件和防火墙,升级病毒库,定期全盘杀毒,及时打系统漏洞补丁。定时做好数据备份,把重要数据加密转移到安全的存储介质上,比如云盘和移动硬盘。不要安装过多的应用软件,不要轻易打开陌生的电子邮件,不要点击陌生人给你发送的链接地址,不要访问不知名的网站,不要点击广告内容,使用移动存储设备,先查杀,后使用。”