勒索病毒(Ransomware)與其他病毒最大的不同在于感染手法及中毒的方式�。
它利用計(jì)算機(jī)的一些功能給系統(tǒng)上了一把“鎖“��,或者對(duì)磁盤上的文件進(jìn)行加密��,從而對(duì)信息的系統(tǒng)的可用性造成巨大影響�����。
然而��,不同于其他的破壞性病毒�����,勒索病毒要求受害者繳納贖金來(lái)恢復(fù)系統(tǒng)����。
勒索病毒在傳播和感染方面與一般的計(jì)算機(jī)病毒沒(méi)有任何區(qū)別,主要從以下幾個(gè)方向去感染目標(biāo)計(jì)算機(jī)系統(tǒng)�。
勒索病毒感染目標(biāo)計(jì)算機(jī)系統(tǒng)的五個(gè)方向
1. 系統(tǒng)漏洞與早期沖擊波病毒利用了Windows RPC/DCOM漏洞攻擊了世界范圍內(nèi)絕大多數(shù)的Windows系統(tǒng)類似,Wannacry勒索病毒利用了永恒之藍(lán)(MS17-010)在全球范圍內(nèi)迅速傳播��。
2. 應(yīng)用漏洞病毒借用公開的利用程序?qū)Υ嬖诼┒吹膽?yīng)用系統(tǒng)攻擊��,將自身的惡意代碼運(yùn)行在操作系統(tǒng)�����,例如Weblogic反序列化漏洞、Struts2表達(dá)式注入漏洞�。
另一類需要人工或者自動(dòng)化的工具挖掘未公開的漏洞來(lái)攻擊應(yīng)用系統(tǒng),運(yùn)行病毒程序���。
3. 口令���、令牌管理不當(dāng),應(yīng)用配置不當(dāng)?shù)壤?����,如果系統(tǒng)管理員賬號(hào)的口令強(qiáng)度太弱���,攻擊者就可以使用自動(dòng)化工具暴力猜測(cè)密碼���,進(jìn)而通過(guò)開放的RDP服務(wù)(遠(yuǎn)程桌面服務(wù))直接管理服務(wù)器,注入惡意程序����。
4. 社會(huì)工程學(xué)利用人的弱點(diǎn)、習(xí)慣�����,結(jié)合各類工具漏洞�����、技術(shù)手段誘使受害者泄露某些機(jī)密或者運(yùn)行某些惡意程序��。
無(wú)論是基于“鎖”還是基于加密的勒索病毒�����,它所利用的技術(shù)和機(jī)制均是出于安全目的設(shè)計(jì)的�����,在不知曉密鑰/密碼信息的前提去破譯其中的內(nèi)容��,均存在一定的技術(shù)和時(shí)間成本�。
除非攻擊者愿意提供相應(yīng)的敏感信息,被勒索病毒所綁架的數(shù)據(jù)基本上無(wú)法進(jìn)行恢復(fù)�����,從而造成嚴(yán)重的數(shù)據(jù)丟失��。
在缺少備份文件的情況�����,它會(huì)導(dǎo)致整個(gè)系統(tǒng)完全癱瘓甚至報(bào)廢。
5. 勒索病毒對(duì)企業(yè)數(shù)據(jù)安全的沖擊隨著信息技術(shù)的進(jìn)步����,企業(yè)在運(yùn)營(yíng)過(guò)程中對(duì)ERP、CRM�、OA等智能辦公系統(tǒng)的核心數(shù)據(jù)的依賴性越來(lái)越高。
所謂“三分技術(shù)�����、七分管理�����、十二分?jǐn)?shù)據(jù)”��,充分說(shuō)明了數(shù)據(jù)在信息化系統(tǒng)中的核心地位和作用�����。
然而��,肆意的勒索病毒成為企業(yè)數(shù)據(jù)安全的噩夢(mèng)。
2017年��,美國(guó)醫(yī)藥巨頭默克集團(tuán)(Merck)遭受嚴(yán)重的勒索病毒攻擊�,在銷售方面造成的損失超過(guò)1.35億美元���,而其他損失超過(guò)1.75億美元����,總計(jì)直接損失3.1億美元����。
全球最大的船運(yùn)公司馬士基集團(tuán)(Maersk)遭受NonPetya勒索病毒攻擊,造成超過(guò)4000臺(tái)業(yè)務(wù)服務(wù)器�、45000臺(tái)業(yè)務(wù)終端被惡意加密勒索,迫使業(yè)務(wù)一度暫停���,造成超過(guò)3億美元直接損失����。
與此同時(shí)����,全球最大的快遞運(yùn)輸公司聯(lián)邦快遞(Fedex)也遭受同類勒索病毒攻擊,造成累計(jì)3億美元的直接損失��。
除此之外,烏克蘭航空����、利潔時(shí)集團(tuán)、美國(guó)印第安納州州立醫(yī)院等大量企業(yè)均遭受勒索病毒侵害���,造成不同程度經(jīng)濟(jì)�����、業(yè)務(wù)損失�����。
放眼國(guó)內(nèi)����,隨著去年WannaCry病毒爆發(fā)���,勒索病毒逐步開始被人們所熟知���,但是在面臨嚴(yán)重的企業(yè)數(shù)據(jù)安全挑戰(zhàn)的時(shí)候大家仍然無(wú)動(dòng)于衷,導(dǎo)致遭受攻擊后追悔莫及。
國(guó)內(nèi)諸多企事業(yè)單位��、上市公司���、大中型民營(yíng)企業(yè)均遭受嚴(yán)重的勒索病毒攻擊���,且相應(yīng)案例仍在持續(xù)上升����,損失也越來(lái)越大。
我們通過(guò)大量勒索病毒攻擊事件應(yīng)急響應(yīng)處置后�����,總結(jié)出如下幾點(diǎn)最容易感染勒索病毒的安全隱患:業(yè)務(wù)便利�����,內(nèi)部辦公系統(tǒng)安全措施不到位情況下直接對(duì)外開放;運(yùn)維方便�,將內(nèi)部系統(tǒng)的控制服務(wù)、數(shù)據(jù)庫(kù)管理端口對(duì)外開放;操作系統(tǒng)管理��、數(shù)據(jù)庫(kù)管理����、應(yīng)用服務(wù)�����、業(yè)務(wù)系統(tǒng)存在弱口令;操作系統(tǒng)及應(yīng)用長(zhǎng)期不更新����,不打補(bǔ)丁�����,不裝殺毒軟件;辦公網(wǎng)絡(luò)與服務(wù)器處在同網(wǎng)段��,無(wú)任何隔離措施;敏感服務(wù)器無(wú)任何安全防護(hù)系統(tǒng);無(wú)數(shù)據(jù)備份措施或同機(jī)備份;服務(wù)器上U盤等介質(zhì)亂插;無(wú)專職網(wǎng)絡(luò)管理員��。
勒索病毒趨勢(shì)勒索病毒自最早在1989年發(fā)現(xiàn)的AIDS木馬病毒已經(jīng)逐步演變成大量可自我復(fù)制�、主動(dòng)提權(quán)、內(nèi)網(wǎng)傳播等高級(jí)功能的病毒����,尤其2012年后,相應(yīng)的變種數(shù)量逐年增加����,逐步形成巨大黑色產(chǎn)業(yè)鏈�����。
安恒信息研究院研究員通過(guò)大量統(tǒng)計(jì)分析發(fā)現(xiàn)�����,大量樣本均利用了較近爆發(fā)的Windows系統(tǒng)嚴(yán)重安全漏洞���,能夠自動(dòng)感染、傳播���,對(duì)服務(wù)器、工作終端均有嚴(yán)重危害�。
專業(yè)測(cè)評(píng)機(jī)構(gòu)根據(jù)近幾年全球勒索病毒對(duì)企業(yè)數(shù)據(jù)影響造成的損失測(cè)算,2019年全球因勒索病毒損失將達(dá)到115億美元��,這個(gè)數(shù)字相當(dāng)于一個(gè)中等發(fā)達(dá)水平國(guó)家全年GDP���,損失之大�,碾壓其他計(jì)算機(jī)病毒���。
企業(yè)信息化作為企業(yè)可持續(xù)性發(fā)展的基本條件���,其重要的涉及生產(chǎn)制造���、研發(fā)創(chuàng)新、營(yíng)銷市場(chǎng)���、財(cái)務(wù)人力��、采購(gòu)審計(jì)等CRM��、ERP���、OA等辦公系統(tǒng)都將是眾矢之的,一旦感染�����,損失會(huì)非常慘重���。
勒索病毒防范措施與應(yīng)急處置首先要做的是事前的防護(hù)和預(yù)警���,在勒索病毒發(fā)作之時(shí),一切為時(shí)已晚���。
可以從以下幾個(gè)方面進(jìn)行勒索病毒安全防范:
1. 應(yīng)用程序方面進(jìn)行數(shù)據(jù)備份時(shí)���,至少應(yīng)該做到異機(jī)備份��,避免服務(wù)器在遭受攻擊后系統(tǒng)完全癱瘓無(wú)法恢復(fù)�����。
最好能有多個(gè)備份����,包括熱備注����、災(zāi)備等�����。
定期關(guān)注相關(guān)應(yīng)用程序廠商的公告和漏洞提醒�����,在測(cè)試后及時(shí)更新���,避免攻擊者通過(guò)Xday漏洞攻擊服務(wù)器����。
定期對(duì)應(yīng)用程序進(jìn)行滲透測(cè)試等,確保應(yīng)用程序的安全性�����。
如果是第三方軟件���,可以延長(zhǎng)測(cè)試周期�。
對(duì)應(yīng)用程序內(nèi)的口令進(jìn)行管理�,同時(shí)做好應(yīng)用程序?qū)徲?jì)信息的保存。
2. 操作系統(tǒng)方面對(duì)操作系統(tǒng)進(jìn)行加固檢查��。
及時(shí)更新關(guān)鍵操作系統(tǒng)補(bǔ)丁�����。
定期使用漏洞掃描工具對(duì)操作系統(tǒng)進(jìn)行檢測(cè)���,發(fā)現(xiàn)潛在的已知或未知漏洞保存相關(guān)審計(jì)數(shù)據(jù)安裝終端防護(hù)軟件網(wǎng)絡(luò)安全解決方案部署防火墻�����、應(yīng)用防火墻�����、入侵防護(hù)系統(tǒng)(IPS)等專用的安全設(shè)備����,如果有條件可以追加部署其他安全設(shè)備和審計(jì)設(shè)備,例如數(shù)據(jù)庫(kù)審計(jì)設(shè)備���、日志審計(jì)設(shè)備等���。
3. 管理的角度組織安全意識(shí)和應(yīng)急響應(yīng)的相關(guān)培訓(xùn),提高個(gè)人安全意識(shí)��。
有條件的話�����,對(duì)內(nèi)部操作進(jìn)行記錄以方便審計(jì)���。
安全不是絕對(duì)的,百密總有一疏��。
如果真的被勒索病毒綁架,我們就需要盡可能地減少損失����。
首先是將受影響的服務(wù)器從網(wǎng)絡(luò)上下線,避免病毒進(jìn)一步擴(kuò)散�,控制影響范圍和損失。
立即聯(lián)系安全廠商和專業(yè)人員進(jìn)行處理��。
如果是處于勒索病毒發(fā)作的初期(未能加密完系統(tǒng)所有的數(shù)據(jù))�����,可以通過(guò)中斷勒索病毒程序來(lái)減少損失�����,比較直接簡(jiǎn)單的方式是斷電��。
盡管這不可避免會(huì)產(chǎn)生一些額外的數(shù)據(jù)丟失風(fēng)險(xiǎn)(緩存�����、內(nèi)存中的數(shù)據(jù))��,但是基本上可以防止勒索病毒進(jìn)一步加密系統(tǒng)文件,破壞整個(gè)系統(tǒng)����。
之后使用PE工具讀取磁盤、備份所有數(shù)據(jù)并嘗試恢復(fù)��。
另一種方式是利用一些安全工具臨時(shí)刪除運(yùn)行中勒索病毒����,對(duì)數(shù)據(jù)進(jìn)行緊急備份,后期可以分析提取出其中有價(jià)值的數(shù)據(jù)����,但是有可能會(huì)造成操作系統(tǒng)死機(jī)等其他情況。
如果勒索病毒已經(jīng)運(yùn)行了一段時(shí)間���,完成了加密加鎖��,這種情況下需要保存?zhèn)浞葸M(jìn)一步分析確認(rèn)病毒的加密方式��、是否存在未被加密的有效數(shù)據(jù)��、是否能夠恢復(fù)等�����。
在嘗試還原被勒索病毒綁架的數(shù)據(jù)之前�,還需要盡可能的確認(rèn)攻擊者的攻擊路徑�,避免上線的熱備份服務(wù)器在短時(shí)間再次遭受攻擊
