• 适用于企业级的勒索软件风险防范规范

    ☞ ░ 前往老猿Python博客 ░ https://blog.csdn.net/LaoYuanPython

    一、勒索软件概述

    勒索软件是一种从2014年开始流行的恶意程序,主要通过加密用户计算机的文件数据致使用户数据资产或计算资源无法正常使用继而向目标用户勒索钱财。赎金形式主要为比特币等虚拟货币。自2019年起,部分新型勒索软件还会盗取用户的敏感数据,以泄露数据相威胁,进一步索要赎金,进行双重勒索。根据威胁情报分析,截止2021年5月,已有超过33个勒索软件家族具备双重勒索能力。

    按照勒索软件的表现形式常见的勒索软件主要包括:文件加密类、锁屏类、磁盘加密类、数据窃取类及移动设备移动设备类勒索软件。

    勒索软件传播方式主要以远程桌面入侵为主,其次为通过海量的钓鱼邮件传播,或利用网站挂马和高危漏洞等方式传播,整体攻击方式呈现多元化的特征。

    二、勒索软件预防

    2.1、事前安全预防
    1. 网络架构
      业务、数据、服务分离,不同部门与区域之间通过虚拟局域网( VLAN) 和子网分离,减少因为单点沦陷造成大范围的网络受到攻击。
    2. 口令权限
      各系统含个人社保采用高强度且无规律的密码,并定期更换口令。位的密码,并定期更换口令。对于各类系统和软件中的默认账户,应该及时修改默认密码,同时清理不再使用的账户。
      不使用相同口令管理多台关键设备,尽可能地限制使用特权账户。
      不对外提供服务的设备不要暴露于公网之上 ,对外提供服务的系统,应保持较低权限。原则上以最小权限提供服务 。
    3. 端口及文件共享
      关闭非必要使用的高危端口,如 139、 445、 3389等端口 。
      尽量关闭不必要的文件共享或者限制文件共享范围。
    4. 邮件安全
      不要点击来源不明的邮件附件,不从不明网站下载软件,警惕伪装成浏览器更新或者 Flash更新的恶意程序。
      不要轻易打开扩展名为 js、 vbs、 wsf、 bat、 cmd、 ps1等脚本文件和 exe、 scr、 com等可执行程序,对于陌生人发来的压缩文件包,提高警惕,先使用安全软件进行检查后再打开。
    5. 杀毒与补丁
      确保所有病毒库保持 更新 定期 对 木马 、 恶意程序进行 查杀, 并 检测杀毒软件是否存在异常拦截情况;
      在验证安全性的前提下 及时给终端 、 服务器打补丁,包括操作系统以及关键 应用系统 的补丁定期执行漏洞扫描,修复漏洞,防止攻击者通过漏洞利用入侵系统;
      由于其他原因不能及时安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问控制策略,以保证网络的动态安全。
    6. 数据存储与备份
      针对敏感数据应进行加密存储,降低数据泄露及双重勒索的风险。 根据 重要文件、数据 的 分类 、 分级,确定备份的范围 、 内容及周期 等 ,定期进行备份,如离线备份 、 异地备份 、 云备份等, 增加 文件 损坏或丢失 后 及时找回的可能性 。
    7. 网站浏览
      使用安全浏览器,减少遭遇网站挂马 、网站钓鱼的风险。
      浏览网页时提高警惕,不浏览色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。
    8. 安全设备
      在企业终端和网络关键节点部署安全设备,并日常排查设备告警情况。安装具有主动防御的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不轻易执行放行操作;
      部署流量监控 /阻断类设备 /软件,便于事前发现 、 事中阻断和事后回溯;
      制定应用软件白名单,及时保持列表的准确 性 、完整性、实时性;
      必要时禁用 Microsoft Office软件的宏指令。
    9. 日志检测
      定期检测系统日志是否存在异常;
      定期排查域控和管控设备 日志,检查登录和下发情况。
    10. 外接设备
      对经常外接的移动存储设备( U盘、移动硬盘)定期进行查杀。不应混用工作与私人外接设备。
      电脑连接移动存储设备(如 U盘、移动硬盘)时,应 关闭自动播放并使用安全软件检测其安全性。
    11. 安全检测评估
      关键应用系统定期进行安全测试和加固。
      定期对关键系统开展安全自查、自评,也可委托专业第三方检测机构开展安全检测评估,及时发现问题并积极整改。
      减少关键应用系统 暴露 于 公共互联网 上 。
    2.2、事中应急处置

    1. 隔离受感染设备
      当确认已感染勒索软件,应立即隔离被感染设备 ,进行断网、关机。其中 断网主要操作步骤包括:拔 掉网线、禁用网卡,如果是笔记本电脑 还需关闭无线网络。防止感染设备 自动通过连接的网络继续感染并操控其他机器。

    2. 感染情况分析
      在已经隔离被感染主机后,应对 感染 影响情况进行分析,检查核心业务系统是否受到影响,具体包括:
       设备 受到攻击影响情况,是否存在备份,备份是否可用;
       设备 感染勒索软件的开始时间;
       网络拓扑情况,被感染设备和未被感染设备在网络中的分布情况;
       存储有敏感信息的设备是否被异常访问,是否存在数据泄露风险。

      对于感染情况不明,已经关闭下线的设备,如需排查损失情况,建议对磁盘或环境做备份后,在隔离网内开机查损失情况,以免有残存的开机自启动恶意程序再次启动后加密文件。

    3. 勒索软件分析与排查
      可通过恶意程序留下的勒索信息、被加密的文件、被加密的桌面背景、留下的可疑样本、弹窗信息等借助工具对勒索软件进行分析,并求助专业人员对攻击方式进行排查。

    4. 解码尝试
      在分析确认被植入的勒索软件勒索原理的基础上,可尝试进行勒索软件破解,常见的破解原理包括:

      利用泄露的私钥破解
      通过各种渠道获取到恶意程序作者的私钥实现破解。如知名的GandCrab的私钥就被警方获取并公开,可以制作解密工具来进行解密。

      利用加密流程漏洞进行破解
      通过分析挖掘恶意程序本身编写的不规范问题获取密钥生成方式 ,从而获得密钥进行解密。例如 动态虚拟专用网络( DVPN) 采用的加密算法,利用文件大小作为密钥。

      明密文碰撞解密
      通过明密文对比计算得到勒索软件使用的加密密钥,此类密钥通常为流加密生成的一个固定长度的密钥串 。

      数据修复解密
      很多勒索软件勒索软件为了保证加密效率不会全文加密,通常为了保证加密效率不会全文加密,通常只加密文件头部分,或者加密整个文件的其他其他部分片段。由于被加密部分占比小,可通过一些技术手段对文件进行修复,再依靠文件格式自身的容错能力,恢复绝大部分有价值信息。

      暴力破解暴力破解
      通过对勒索软件有限的密钥空间进行穷尽,暴力破解获取密钥。常见是利用时间做种子产生伪随机数作为密钥。

    5. 未感染设备处理
      更换同一内网下的所有设备口令。
      根据排查发现的攻击方式与隐患,及时修补漏洞。

    6. 感染设备再使用
      感染设备如果要再次投入使用的,应按事前安全预防的要求对安全问题进行一一排查。在未查清被感染原因之前,不建议进行如下操作:
       格式化磁盘、重装系统、恢复系统等彻底破坏环境的其它操作;
       直接删除发现的可疑程序, 恶意 文件;
       清除所有的勒索信息和被加密文件;
       在 感染设备 上使用 U盘、移动硬盘等移动存储设备;
       反复读取磁盘上的文件等降低数据正确恢复概率的行为。

    2.3、事后加固防御

    在紧急事件处理后,应在保证网络环境安全的情况下对数据进行恢复和备份,排查事件原因,加固系统漏洞。

    数据恢复
    依据数据备份与恢复相关制度、备份日志,通过衡量时间成本、数据重要性确认数据恢复范围、顺序以及使用的备份数据版本。如果技术条件满足可以对接事先备份好的数据进行数据热恢复。

    安全加固
    根据勒索攻击事件的问题节点进行加固,通过执行内部和外部渗透测试,确定暴露于互联网的任何潜在易受攻击的系统、服务器和网络远程连接(例如 VPN或 RDP),更新端点和服务器的操作系统和所运行软件的补丁。

    四、小结

    本文针对勒索病毒的防范,从事前预防、事中应急、事后加固全流程指定应对措施,对勒索病毒防范具有好的参考价值。

    写博不易,敬请支持

    如果阅读本文于您有所获,敬请点赞、评论、收藏,谢谢大家的支持!

    关于老猿的付费专栏

    1. 付费专栏《https://blog.csdn.net/laoyuanpython/category_9607725.html 使用PyQt开发图形界面Python应用》专门介绍基于Python的PyQt图形界面开发基础教程,对应文章目录为《 https://blog.csdn.net/LaoYuanPython/article/details/107580932 使用PyQt开发图形界面Python应用专栏目录》;
    2. 付费专栏《https://blog.csdn.net/laoyuanpython/category_10232926.html moviepy音视频开发专栏 )详细介绍moviepy音视频剪辑合成处理的类相关方法及使用相关方法进行相关剪辑合成场景的处理,对应文章目录为《https://blog.csdn.net/LaoYuanPython/article/details/107574583 moviepy音视频开发专栏文章目录》;
    3. 付费专栏《https://blog.csdn.net/laoyuanpython/category_10581071.html OpenCV-Python初学者疑难问题集》为《https://blog.csdn.net/laoyuanpython/category_9979286.html OpenCV-Python图形图像处理 》的伴生专栏,是笔者对OpenCV-Python图形图像处理学习中遇到的一些问题个人感悟的整合,相关资料基本上都是老猿反复研究的成果,有助于OpenCV-Python初学者比较深入地理解OpenCV,对应文章目录为《https://blog.csdn.net/LaoYuanPython/article/details/109713407 OpenCV-Python初学者疑难问题集专栏目录
    4. 付费专栏《https://blog.csdn.net/laoyuanpython/category_10762553.html Python爬虫入门 》站在一个互联网前端开发小白的角度介绍爬虫开发应知应会内容,包括爬虫入门的基础知识,以及爬取CSDN文章信息、博主信息、给文章点赞、评论等实战内容。

    前两个专栏都适合有一定Python基础但无相关知识的小白读者学习,第三个专栏请大家结合《https://blog.csdn.net/laoyuanpython/category_9979286.html OpenCV-Python图形图像处理 》的学习使用。

    对于缺乏Python基础的同仁,可以通过老猿的免费专栏《https://blog.csdn.net/laoyuanpython/category_9831699.html 专栏:Python基础教程目录)从零开始学习Python。

    如果有兴趣也愿意支持老猿的读者,欢迎购买付费专栏。

    老猿Python,跟老猿学Python!

    ☞ ░ 前往老猿Python博文目录 https://blog.csdn.net/LaoYuanPython
  • 相关阅读:
    WHAT - React 学习系列(一)
    XDOJ-267 判断栈输出顺序正确与否
    硬盘循环利旧助力绿色低碳可持续发展
    pytorch 优化器
    RocketMQ的push消费方式实现的太聪明了
    企业架构LNMP学习笔记57
    樱花(筛素数+约数)
    15、Mybatis获取参数值的情况1(mapper接口方法的参数为单个字面量类型)
    【Pytorch入门学习】 Dateset类的实现笔记(套路) 附有详细的代码注释以及实验框架流程
    DPDK网卡RSS(receive side scaling)简介
  • 原文地址:https://blog.csdn.net/LaoYuanPython/article/details/118028567