6勒索病毒防护指引

勒索病毒防护指引勒索病毒背景自2017年5月WannaCry（永恒之蓝勒索蠕虫）大规模爆发以来，勒索病毒已成为对政企机构和网民直接威胁最大的一类木马病毒。大规模爆发的Globelmposter、GandCrab、Crysis等勒索病毒，攻击者更是将攻击的矛头对准企业服务器，并形成产业化；而且勒索病毒的质量和数量的不断攀升，已经成为政企机构面临的最大的网络威胁之一。勒索病毒感染案例据某安全机构监测和评估显示：每天感染用户电脑的勒索病毒有10多种（家族），每天感染量高达10-15万台电脑，其中以漏洞为传播途径的勒索病毒占90%以上。翱案福善单日感染量评希传儒方式Wannacryuoooo*蠹祠Genawm3400+邮件Foreign2000+多种LeckyS00+邮件Addvi»r7孙军种近期发生的一些勒索病毒感染事件再次对我们敲响了警钟。案例一：某上市公司福建某上市公司服务器被勒索病毒Ransom/Bunnyde入侵，导致该企业核心的ERP（财务系统）数据库被加密向病毒团伙支付了50万人民币赎金后，获得密钥恢复了数据。该病毒是利用垃圾邮件和漏洞等方式传播，工程师调查发现，该企业服务器既没安装补丁程序，又没安装任何安全软件。案例二：某知名高校某南方知名高校学生使用个人电脑连接学校网络时，被通过校园网主机系统漏洞进入的勒索病毒感染，包括毕业论文在内的所有文件被加密，该病毒提示需要支付近1万元人民币赎金。该学生支付赎金后，病毒团伙并没有提供任何解密方式。案例三：某服务提供商2019年11月9日拥有44万客户的ASP.NET网络托管提供商遭到勒索软件的攻击，这是今年的第三家大型网络托管提供商被勒索病毒网络犯罪团伙攻击，加密了客户服务器上的数据，该公司被勒索病毒攻击之后，客户电话被打爆而不得不中断客户电话热线，该公司网站在11月9日被迫关闭一整天。勒索病毒的来源通过对云上用户的调查分析，大部分用户未按照最佳的安全使用方式来使用云服务器资源，主要问题有：关键账号存在弱口令或无认证机制服务器关键账号（root、administrator）密码简单或无密码。

数据库（Redis、MongoDB、MySQL、MSsqlServer）等重要业务使用弱密码或无密码。无访问控制策略，业务暴露在互联网上RDP、SSH、Redis、MongoDB、MySQL、MSsqlServer等高危服务可以通过互联网直接访问。服务器操作系统和软件存在高危漏洞恶意攻击者可以利用服务器操作系统和应用服务软件存在的高危漏洞，上传加密勒索软件或执行勒索操作，实现远程攻击。如何判断是否中了勒索病毒主机桌面被篡改主机感染勒索病毒后，最明显的特征是电脑桌面发生明显变化，即：桌面通常会出现新的文本文件或网页文件，这些文件用来说明如何解密的信息，同时桌面上显示勒索提示信息及解密联系方式，通常提示信息英文较多，中文提示信息较少。W生一/七件学区自*网卜的丁生।珥芷FT上快庆中*H高口？"M•三和KL电可£1W生一/七件学区自*网卜的丁生।珥芷FT上快庆中*H高口？"M•三和KL电可£1晴 品MH号匕跖■它也之昨匕我的血睡出「时£网融？仃切・讪♦♦总供营帔曲江*不?-Lz^t,EtOETaH5曲流・正力打开■■工叩口3IM他肝田”内行或景用-UT三天号用我当副患- 乜-L—依褊•-TtLHi■内也出洋•冷常注.gt"kT-怩〒々了W点田，对中。上凶町T&E立L-W**56喟户氨的第七■I次3•方就K娘小又再好万迂?当恭胃百■奈・他我油-遇匕北11的胡丁门兽寸端庖，井山’肝黑河h工育近鞘*JUE-HSSttPr■也不整壬rru的M怛.日烹n怔，苗师文打• -t-：fi'-r3i.^■_-ifl-r；-'ir-：-- -MOTH•iR电由4«IFQ-ttlfi!**ft*-£5：A•lEfi*™名，二小|柒那的* M1UB.BJ；用curn««闻Ib»Lmif除期UHdHMFLHl花曲57Tt>MvLvflG2：23：E7：41pji|nwncmLb«raiaiHdanAllyourfilesha*的bran：也门匚严1«1!Ml产n.■KcwlwpfiMag巾vMrfC■悄Mrieemim 附Wr也修 ET11131M用U3imlKWfWTlaYinnHrhrHl*lhfTMFraleMg*qr^nin*KnT^*prrv*whrian»lBg 才一"改0?Tfru>kri呼点4IIratnrawvidjfanim|l !!J rtkLmiMtiELpI:Ilhfatbw fibUtawMfanufbafflM由mIhAdii■L-sSrUa■diib-iii'h-uixn.IMMwfiMuk.IpfIfc）I4whJufeLiiBtattDI /unni!FjMvmv-YMlfr-n-fri-irt尊年味』.Rf:，Z了门文件后缀被篡改服务器感染勒索病毒后，另外一个典型特征是：办公文档、照片、视频等文件的图标变为不可打开形式，或者文件后缀名被篡改。一般来说，文件后缀名会被改成勒索病毒家族的名称或其家族代表标志，如：GlobeImposter家族的后缀为.dream、.TRUE、.CHAK等；Satan家族的后缀.satan、sicck；Crysis家族的后缀有.ARROW、.arena等。下面为电脑感染勒索病毒后，几种典型的文件后缀名被篡改或文件图标篡改的示意图。名称 擀-HWDUDNCO-MANUALtxt 2。网址,txt.hwdudrKXj 2。一专利由谢调实务化学分册pdfhwdud嬴 记五、"**安全产品选择【云主机备份】帮助用户建立完备的备份恢复体系安全防护的核心是确保核心数据的可用，只有建立完备的备份机制才能确保在遭受攻击时能够全身而退。****【云主机备份】、【云硬盘备份】服务可利用多种备份机制和策略周期性的帮助客户进行备份。为应对勒索病毒的发生打好基础。如希望进一步了解****存储服务可以参见如下链接：/op-help-center/show/3。【态势感知】建立全局威胁情报感知能力有效的识别和监测是安全防护的关键。****【态势感知平台】通过采集系统的网络安全数据信息，帮助用户对所有安全数据进行统一处理分析，实现对网络攻击行为、安全威胁事件、日志、流量等网络安全问题的发现和告警，形成安全可监控、攻击可防护、威胁可感知、事件可控制的安全闭环。如希望进一步了解****态势感知服务可以参见如下链接：/product-introduction/awareness。【云安全中心】【增强漏洞扫描】双拳出击提供全面检测与防护配置全面的安全检测和防护策略，不仅能有效防御勒索病毒，还能减少其他入侵行为导致的安全隐患。用户可以通过购买****【云安全中心】和【增强漏洞扫描】，为云主机提供强大的监测检查能力，实时发现用户云主机存在的安全问题，全面保障云主机安全。如希望进一步了解****云安全中心和漏扫产品可以参见如下链接/op-help-center/doc/category/1073;/op-help-center/doc/category/756。【增强漏洞扫描】让Web防护更放心更安心Web服务会存在各种各样的漏洞，攻击者会利用Web漏洞上传勒索病毒，对用户资产造成破坏。****【增强漏洞扫描】可以快速评估网站（群），帮助用户及时发现网站的风险隐患，指导用户及时修复漏洞。如果用户的Web站点同时配置【Web应用防护】月服务，便可以对Web流量进行解码和分析，有效应对SQL注入、XSS注入、CSRF等一系列Web攻击。如希望进一步了解****Web漏扫服务可以参见如下链接/op-help-center/show/1101。六、勒索病毒的预防减少威胁事件的发生，降低勒索病毒感耨勺概率，我们建议采取以下措施进行预防：1、周期性的进行数据备份（按天增量、按周/月全量），并做好多副本异地存储（按月/季度）；2、搭建具有容灾能力的架构，发生问题可以切换至备份系统保障系统连续性；3、建立代码安全审查机制，开发流程中执行黑盒白盒测试，减少代码漏洞；4、分隔网络区域，云主机之间通过设置安全组或者防火墙禁用非必要和不安全的流量；5、周期性检查并更新云主机操作系统的补丁以及应用软件的补丁；6、对云主机进行安全加固，关闭135、137、138、139、445以及不必要的服务端口。主机上运行服务的默认端口号更改至非周知端口；7、云主机上安装专业杀毒软件并将病毒库更新至最新；8、云主机禁用多余账号并且账号使用强度高切更为复杂的口令；9、云主机禁止使用root或者administrator直接登录系统；10、定期对系统进行漏洞扫描和渗透测试，及时发现问题并进行解决。七、应急处置措施一旦遭受了勒索病毒的感染，我们需要采取一些列的手段将影响和威胁降低至最低，遭遇勒索病毒感染后最直接的办法就是把中毒的机器进行断网隔离，然后等待专业的安全服务人员上门进行处理，下面列举了一套勒索病毒应急处置方法：断网或关机处理，防止勒索病毒内网传播感染，造成更大的损失；恢复业务：断网后，可通过备份恢复业务；排查业务系统：在已经隔离被感染主机后，应对其他主机进行排查，检查核心业务系统是否受到影响，并检查备份系统是否被加密等，以确定感染的范围；修改未感染主机的密码并及时更新补丁，防止进一