近日,臺積電臺灣的三大基地被曝光遭受勒索病毒入侵,引發(fā)生產(chǎn)線停擺,勒索病毒再一次在公眾視野中刷足了“存在感”。病毒版本快速迭代,變種層出不窮,查殺躲避檢測技術(shù)也愈發(fā)狡猾……這些變化都對企業(yè)的業(yè)務(wù)產(chǎn)生了嚴(yán)重威脅。應(yīng)對勒索病毒的風(fēng)險迫在眉睫,基于此,安全狗針對當(dāng)前面對的勒索病毒的現(xiàn)狀進(jìn)行了初步的總結(jié),并推出一些針對性的解決方案,希望對行業(yè)和用戶有所補益。

　　勒索病毒的分類有很多種方式,考慮到對于企業(yè)而言進(jìn)行防御的便利性,我們這里以傳播途徑為標(biāo)準(zhǔn)進(jìn)行了若干總結(jié)。

　　社會工程學(xué)傳播

　　如Locky病毒,該病毒一般是通過郵件方式進(jìn)行傳播,黑客對目標(biāo)對象發(fā)送帶有附件的惡意郵件,員工或者領(lǐng)導(dǎo)一旦打開附件后,電腦、手機上的各種重要文件,包括軟件源代碼、Word、PPT、PDF、圖片等都會被加密,無法正常使用。

　　漏洞傳播

　　漏洞傳播存在多種類型。

　　1、通過服務(wù)器弱口令傳播

　　如Rapid勒索病毒,根據(jù)部分網(wǎng)友在部分論壇中的反饋發(fā)現(xiàn),該病毒通過服務(wù)器弱口令方式傳播。

　　2、永恒之藍(lán)系列

　?、賅annacry及其變種可謂該系列病毒中最為臭名昭著的一類了,爆發(fā)以來造成的損失不計其數(shù),包括安全狗在內(nèi)的眾多廠商均針對該系列病毒推出過解決方案。

　?、赑etya勒索病毒的變種。使用的傳播攻擊形式和WannaCry類似,但該病毒除了使用了永恒之藍(lán)(MS17-010)漏洞,還罕見的使用了黑客的橫向滲透攻擊技術(shù),利用WMIC/PsExec/mimikatz等

　?、跾atan勒索病毒。通過永恒之藍(lán)漏洞攻擊工具在局域網(wǎng)內(nèi)橫向傳播,主動入侵未安裝補丁的服務(wù)器

　　復(fù)合傳播方式

　　1、GandCrab家族勒索病毒

　　傳播渠道相對其他家族豐富很多,包括掛馬攻擊、水坑攻擊、漏洞攻擊和釣魚郵件攻擊,其中水坑攻擊令人防不勝防。水坑攻擊傳播通過入侵網(wǎng)站后臺,將網(wǎng)頁內(nèi)容篡改為亂碼,并且提示需要更新字體,誘導(dǎo)用戶下載運行“字體更新程序”,實際上用戶下載到的是GandCrab2勒索病毒。GandCrab3勒索病毒還通過Bondat蠕蟲下載傳播。

　　2、Crysis勒索軟件

　　有的廠商認(rèn)為Crysis這個勒索軟件主要通過垃圾郵件、釣魚郵件、游戲修補程序、注冊機、捆綁破解軟件等方式傳播;有的廠商則認(rèn)為主要傳播方式是利用服務(wù)器弱口令漏洞,爆破遠(yuǎn)程登錄用戶名和密碼,進(jìn)而通過RDP(遠(yuǎn)程桌面協(xié)議)遠(yuǎn)程登錄目標(biāo)服務(wù)器運行勒索病毒,黑客遠(yuǎn)程登錄服務(wù)器后手動操作。

　　我們認(rèn)為這些傳播方式可能均存在,只是基于廠商的立足點不同和統(tǒng)計方式的區(qū)別而存在差異,如基于個人PC端統(tǒng)計到的傳播方式社會工程學(xué)方式居多,然而對于服務(wù)器則是以服務(wù)器弱口令漏洞傳播居多,故而分類為復(fù)合傳播方式。

　　3、GlobeImposter勒索者病毒

　　GlobeImposter勒索者病毒可以利用電子郵件、文件傳輸?shù)确绞竭M(jìn)行擴散,更主要的特點是利用系統(tǒng)的漏洞發(fā)起動態(tài)攻擊。針對企業(yè)服務(wù)器的攻擊以弱口令爆破服務(wù)器后遠(yuǎn)程登錄的方式最為常見。黑客使用自動化攻擊腳本,暴力破解服務(wù)器管理員賬號密碼,入侵后可秘密控制服務(wù)器,卸載服務(wù)器上的殺毒軟件并植入勒索病毒。

　　根據(jù)我們的推測,大多沒有發(fā)現(xiàn)傳播模塊的勒索病毒,其實并不是沒有傳播模塊,只是,在傳播過程中,傳播模塊并沒有一起傳播,部分黑客限于技術(shù)或有意控制傳播范圍只針對某些目標(biāo)時,只進(jìn)行勒索而不大范圍感染傳播,也有些是因為黑客防止被他人探測出傳播手段,發(fā)現(xiàn)漏洞后手動利用漏洞釋放病毒,而不使用自動傳播模塊,避免手段泄露。

　　針對多種傳播類型的勒索軟件,也需要多樣的手段來進(jìn)行防御,我們總結(jié)了這些可以進(jìn)行的防御方式。

　　1、更新補丁

　　永恒之藍(lán)系列的勒索病毒造成的影響持續(xù)到了今年,然而相關(guān)的漏洞補丁早已發(fā)布,這說明企業(yè)在補丁管理上仍然需要保持足夠的重視。從企業(yè)的角度而言,陳舊應(yīng)用越多,遭受威脅的可能性就越大,因此有必要建立有效機制確保及時更新相關(guān)的補丁,不可抱有僥幸的心態(tài)。

　　2、加強管理,不做危險行為

　　很多勒索病毒是藉由郵件或附件傳播的,企業(yè)需要做好相關(guān)的安全教育和管理,避免因為此類行為造成感染。

　　3、采用綜合性端點安全解決方案實現(xiàn)行為檢測

　　端點(即用戶計算機)往往正是勒索軟件的感染重災(zāi)區(qū),因此有必要采用專門的端點保護(hù)解決方案。安全狗可以提供相關(guān)的端點安全解決方案,不依賴于傳統(tǒng)靜態(tài)特征防護(hù)機制,讓未知威脅看得見、防得住,同時為Web網(wǎng)站持續(xù)監(jiān)控和實時干預(yù)提供了必要手段。

　　云眼威脅情報捕獲的記錄

　　4、部署必要的安全軟硬件

　　勒索軟件究其實質(zhì),也是病毒或木馬等惡意軟件的一種,因此部署殺軟和類似的安全防護(hù)軟件仍是必不可少的安全措施。服務(wù)器安全狗可以做到對勒索病毒的查殺,建議用戶安裝使用。

　　5、重視持續(xù)監(jiān)控

　　盡可能選擇那些提供“產(chǎn)品加服務(wù)”復(fù)合型方案的安全供應(yīng)商。擁有市場領(lǐng)先的安全技術(shù)固然重要,但安全專家們24 x 7全天候監(jiān)控同樣是保護(hù)IT基礎(chǔ)設(shè)施及應(yīng)對勒索軟件等新型威脅的關(guān)鍵性手段。安全狗可向用戶提供7*24小時的安全服務(wù)支撐,有需要的用戶可以撥打4001000221熱線尋求幫助。

　　6、容災(zāi)備份必不可少

　　作為最壞情況的兜底,就是在遭受攻擊之前對現(xiàn)有的數(shù)據(jù)資產(chǎn)做好備份,確保遭受勒索軟件攻擊時仍能實現(xiàn)數(shù)據(jù)訪問。