疯狂的勒索病毒, 服务器用户该如何防护?

分类 新闻中心 阅读6465 次 发布日期 2020-04-12

   

   过去的一年里,勒索病毒疯狂肆虐,一举蹿红成为无人不晓的年度热词。作为钱包余额常年不足的资深“隐性贫穷人口”,众多不知所措的小伙伴因为时刻害怕“被勒索”,而感到瑟瑟发抖。

   纵览全年,勒索病毒集中爆发,勒索事件层出不穷,赎金额度不断攀升,全球各地仿佛时刻都在被勒索病毒洗劫。

   据360安全大脑发布的《2019年勒索病毒疫情分析报告》,在2019年前11个月中,360安全大脑共监测到受勒索病毒攻击的计算机达412.5万台,处理反勒索申诉案件近4600例勒索病毒的全年攻击趋势在总体形势、传播方式、地域分布等多维度中展现竞逐“对决”态势。



什么是勒索病毒?


       勒索病毒是最近几年才出现的一种新型病毒,该病毒的传播途径目前来看主要有:邮件、程序木马、网页挂马等形式。从实际情况来看,该病毒性质恶劣、危害极大,一旦感染会给用户带来较大的损失。据笔者调查,目前出现的勒索病毒的工作方式基本都是采用对数据进行加密的方式。加密算法多种多样,破解的难度和加密算法的复杂程度相关,一般数据被感染,被感染者自己很难解密,一般需要拿到相应的解密私钥信息才能对数据进行解密,除了病毒开发者本人其他人一般很难对数据进行解密。从笔者自己的实际测试来看(自己测试的话建议在虚拟机中进行测试),勒索病毒一旦进入到用户的计算机,就会自动运行起来,且为躲避杀毒软件的查杀和分析勒索病毒还会自动将软件样本删除掉。众多勒索病毒有一个统一的特征,就是在对目标数据完成加密之后还会还会对被攻击者的桌面壁纸进行修改,会在桌面等比较显眼的位置弹出写有勒索信息的提示文件。文件内容一般分为两部分,一是告诉被攻击者你的计算机的数据被加密了,而是告诉被攻击者交赎金后才可以恢复数据。

      让人比较头疼的是,勒索病毒一般变种类型非常之多,而且类型变化也很快,因此常规的杀毒软件很难发现(攻击者一般在开发完勒索软件之后,会先用最常见的一些病毒查杀软件进行测试,测试通过后才会展开对外的攻击),从近期的数据来看,比较常见的攻击样本有exe、js、vbe以及wsf等类型。常规的杀毒软件查找病毒的原理一般是对当前计算机上的文件进行特征的检测,检测完成后和现有的病毒库中的特征数据进行匹配,如果可以匹配成功则找到病毒文件,因此现有的勒索病毒对我们常用的常规杀毒软件是一个很大的挑战。从攻击方式看,钓鱼方式发起的攻击所占比例较少,主要通过目标机器的现有漏洞进行攻击,占到攻击总数的87.7%。从操作系统来看被植入病毒的主要是Windows XP、Windows 7,原因是目前这些系统中有一部分微软官方已经不再支持更新、以及补丁的维护,一般会存在较多的无法及时修复的漏洞。不幸的是,目前国内很多的机关单位仍在大量的使用这些老旧的系统,比较常见的比如政府、学校、医院以及一部分的企业。由于微软较新版本的Windows 10采用的是强制更新的方式,因此采用了Win10系统的用户几乎没太受到影响。

    勒索病毒攻击对象一般分为两种,一部分是针对企业用户,另部分是针对所有用户(不区分个人和企业)。目前已经发现的勒索病毒的运行流程都比较复杂,但基本上都具备如下的关键特征:

  1. 几乎每个勒索病毒都会调用一些复杂的加密算法库;

  2. 病毒运行过程中会通过预先写好的脚本文件(在被攻击的计算机上)从对攻击者远端的服务器进行HTTP请求;

  3. 病毒会通过脚本文件从攻击者远端的服务器上进行文件的下载,这些文件中一般会包含有加密使用的密钥信息;

  4. 病毒除了会从远端的服务器下载文件,一般还会直接从远端的服务器上直接读取一些信息;

  5. 下载下来的文件几乎都是通过Windows 上的WScript进行执行的;

  6. 下载下来的文件执行后,一般都会收集当前计算机上的信息,比如系统版本等,勒索病毒通过获取具体的版本信息来决定采用什么样的加密方式;

  7. 最后勒索病毒一般会对被攻击计算机上的文件进行遍历,然后将收集到的目标文件进行加密。

     从360 安全大脑的统计数据来看,进入2019年以来,用户在勒索病毒方面的反馈量基本是逐月增加的。以8月份的数据来看,8月份的勒索病毒反馈量和勒索病毒的种类比7月份的都有小幅的上升,其中Stop 这种类型的勒索病毒的上升量最大。

      但从种类来看,360安全统计到的8月份的数据中勒索病毒的数量已经到了29种。其中GlobeImposter 勒索病毒家族的病毒量占到总量的21.21%,排在第一位,另外的两种病毒phobos 和Stop 占比略低,分别为14.2%和13.65%,位居第二、三位,虽然占比略低,但上升速度非常快,一点也不能掉以轻心。

      近几年勒索病毒极其猖獗,从操作系统的类型来看,目前发现的主要出现在Windows 系列的操作系统之上,Linux 操作系统中勒索病毒的情况也有,但相对较少。从今年7月份的统计数据来看,被感染的系统中,前三名分别是:Windows 7、Windows 10以及Windows Server 2008。从变化幅度来看,以Windows 7为最大,Windows 7 的勒索病毒感染量从今年6月份的29.47%上升到了7月份的56.45%。从个人用户和企业用户的分类来看,7月份中个人用户的感染占比比6月份的数据有不小的上升幅度,从6月份69%上升到了86%。这个数据和近期Stop、Sodinokibi 这两种勒索病毒的活跃度上升有关,也和企业用户防范意识逐渐加强有关。

     勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁



勒索病毒防护
一些预防措施其实从上文中的勒索病毒介绍中就可以看出,比如勒索病毒一般需要连接到黑客的C&C服务器来进行本地信息的上传和加密,因此可以采用诸如入口、出口白名单的方式对出入我们计算机的流量进行限制,这样可以极大地降低我们的计算机被植入勒索病毒的风险。上面只是简单说明了下勒索病毒预防的常见的方法,接下来我们从云环境和非云环境两个层面并结合安全技术和安全管理两个层面看下一些常用的勒索病毒预防措施。

重点---服务器如何预防

(1)重要数据定期备份对数据库数据库等关键数据进行定期的备份,最好是进行远程异地的备份,这样即使机器上的数据被加密,也可通过远端备份的数据进行数据恢复。建议使用百度云盘等相关工具进行自动备份!

(2)入口白名单对入口方向添加白名单过滤,只开放实际在使用的端口,不在使用的端口一律不开放,比如445端口。

(3)出口白名单服务器出口方向只开放真正需要访问的外部端口,这样可以防止勒索病毒连接远端服务器下载密钥信息。除了端口一般也建议对允许访问外网的服务器的IP进行白名单的限制。

(4)软件下载安全软件尽量从正规的官网或者公司内部的软件中心下载,防止下载的软件带入勒索病毒。软件下载之后建议使用公司的病毒查杀工具进行检查,校验无误后再进行后续的安装使用。

(5)杀毒软件定期升级如果环境中安装了病毒查杀软件,一定要对杀毒软件进行定期的更新升级,由于杀毒软件厂商会根据已查找到的新的病毒信息对自己的病毒特征库进行更新,因此定期更新杀毒软件可以保持病毒特征库是最新的,可以有效减少勒索病毒来源的种类。

(6)非弱口令勒索病毒不单单会利用系统漏洞或者挂马的方式进行进入受害者的计算机,还可能会破解用户计算机的登录账号信息来直接控制用户的计算机,然后植入勒索病毒。鉴于这种情况,一般建议增加登录密码的复杂度,包括超级管理员账号和一般的普通账号,一般建议密码长度最少为8,其中需要包含大小写字母、数字和特殊符号。除了增加密码的复杂度之外,还可以使用密钥认证的方式进行登录的鉴权,只需要将需要登录到服务器的人员的公钥信息加到目标服务器的目标用户的密钥配置文件中即可,密钥的安全程度总体上要比密码的安全程度高,建议使用密钥认证代替密码认证。
a.高强度密码:8位以上,采用大写字母+小写小写+数字+符号(举例:HanL936582@!#¥@)
b.不要使用弱口令密码:顾名思义弱口令就是没有严格和准确的定义,通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令(举例:123456;abcdefg;admin)
c.定期更换密码:正常系统登录口令需要在3-6个月之内更换一次密码
d.另外如果组织内有多个服务器一定不要使用相同的密码,这样如果一台服务器沦陷其他服务器也会中毒

e.尽量不要开启DMZ主机或桌面映射功能,避免电脑IP爆漏在公网

f: 计算机设置---Windows设置---安全设置---账户策略---账户锁定策略”,然后到右侧窗格中的“账户锁定阈值”项,这里可以设置用户账户被锁定的登录尝试失败的次数,该值在0到999之间,默认为0表示登录次数不受限制,我们可以改为3或10。(设置完成后,还可以设置账户锁定的时间)


(7)系统漏洞补丁实时更新并定期检查  实际使用中,服务器的操作系统版本一般不会进行频繁的变更,但这并不代表操作系统的问题就可以忽视。系统可以不频繁升级,但可以通过打补丁的方式减少现有系统的漏洞,但一般建议经常关注现有系统的漏洞预警信息,及时对漏洞进行修复。

(8)不使用破解与激活工具如国内流行的一些系统激活工具中,多次被发现携带有下载器,rootkit 木马,远控木马等。STOP 勒索病毒便是其中一类,从去年年底开始活跃的 STOP 勒索病毒,通过捆绑在一些破解软件和激活工具中,当用户下载使用这些软件时,病毒便被激活,感染用户计算机,加密计算机中的文件。

(9)建议升级最新的windows2016或2019操作系统,用《Windows Defender安全中心》防御勒索软件勒索病毒需要加密你的文件之后才能勒索你,所以如果能够阻止可疑应用程序更改你的重要文件,勒索软件就无法得逞了。
《Windows Defender安全中心》的“病毒和威胁防护”设置界面的底部有一个专门的“勒索软件防护”设置项。如图:


写在最后:如果服务器中了勒索病毒,可以在https://lesuobingdu.360.cn/的指导下,试着解密一下  集合了超过80种勒索病毒的解密工具,为病毒受害者提供完全免费的文件恢复服务,这也是目前全球规模最大的勒索病毒“解密库”。

为帮助勒索病毒受害者更有效地恢复文件,360安全中心上线了勒索病毒防护网站(lesuobingdu.360.cn)。通过“病毒搜索引擎”,可以快速查找电脑所感染的病毒种类,并获取相应的解密工具。该网站收集了国内外各大专业安全机构发布的90%以上的解密工具,能够有效破解80多种勒索病毒。

此外,勒索病毒防护网站还提供了360安全卫士离线救灾版、文档卫士等一系列病毒防护工具,形成一套整合了病毒免疫、防御、查杀、解密的反勒索解决方案,并第一时间发布国内外勒索病毒的最新动态,全方位保护用户的数据安全。