应对勒索软件风险刻不容缓。
基于此,Safe Dog对勒索软件的现状进行了初步总结,并推出了一些针对性的解决方案,希望能让行业和用户受益。
勒索软件病毒的分类方法有很多种。
考虑到企业防御的便利性,我们在这里根据传播途径做了几点总结。
社会工程传播如 Locky 病毒。
该病毒通常通过电子邮件传播。
黑客向目标对象发送带有附件的恶意电子邮件。
员工或领导一旦打开附件,电脑、手机上的各种重要文件,包括软件源码、Word、PPT、PDF、图片等都会被加密,无法正常使用。
漏洞传播 漏洞传播有多种类型。
1.Rapid勒索病毒通过弱服务器密码传播。
根据部分论坛部分网友反馈,发现该病毒是通过服务器弱口令传播的。
2、永恒之蓝系列 ① Wannacry及其变种是该系列病毒中最臭名昭著的。
自疫情爆发以来,他们造成了无数损失。
包括SafeDog在内的多家厂商都推出了针对该系列病毒的解决方案。
②Petya勒索病毒的变种。
使用的传播攻击形式与WannaCry类似,但除了利用永恒之蓝(MS17-)漏洞外,该病毒还很少使用黑客的横向渗透攻击技术,使用WMIC/PsExec/mimikatz等③Satan勒索病毒。
通过永恒之蓝漏洞攻击工具在局域网内横向传播,主动入侵未打补丁的服务器。
复合传播方式 1、GandCrab家族勒索病毒传播渠道比其他家族丰富得多,包括挂马攻击、水坑攻击、漏洞攻击和钓鱼邮件攻击,其中水坑攻击难以防范。
水坑攻击通过入侵网站后端,将网页内容篡改成乱码,并提示字体需要更新,诱导用户下载并运行“字体更新程序”进行传播。
事实上,用户下载的是GandCrab2勒索病毒。
GandCrab3 勒索软件还通过 Bondat 蠕虫病毒的下载进行传播。
2、Crysis勒索病毒 部分厂商认为Crysis勒索病毒主要通过垃圾邮件、钓鱼邮件、游戏补丁、注册机、捆绑破解软件等传播;一些厂商认为,主要传播方式是利用服务器弱口令漏洞。
爆破远程登录用户名和密码,然后通过RDP(远程桌面协议)远程登录目标服务器,运行勒索病毒。
黑客远程登录服务器并手动操作。
我们认为这些传播方法可能都存在,但是基于厂家立足点的不同以及统计方法的差异而存在差异。
例如,基于个人PC统计的传播方法大多是社会工程方法,但对于服务器而言,则使用弱服务器密码。
漏洞大多是传播的,因此被归类为复合传播方法。
3.GlobeImposter勒索软件病毒。
GlobeImposter勒索病毒可以通过电子邮件、文件传输等方式进行传播,其主要特征是利用系统漏洞发起动态攻击。
攻击企业服务器最常见的方法是使用弱密码破坏服务器,然后远程登录。
黑客利用自动化攻击脚本暴力破解服务器管理员帐号和密码。
入侵后,他们可以秘密控制服务器、卸载服务器上的防病毒软件、植入勒索软件。
根据我们的推测,大多数没有传播模块的勒索病毒并未被发现。
其实并不是没有传播模块。
只是在传播过程中,传播模块并不是一起传播的。
一些黑客受技术限制或刻意控制传播范围仅针对某些目标。
,只进行勒索,而没有广泛感染和传播,还有一些是因为黑客阻止他人检测传播手段,发现漏洞后,手动利用漏洞释放病毒,而不是使用自动传播模块来避免手段的泄漏。
勒索软件传播类型多样,需要多种防御方法。
我们总结了这些可能的防御方法。
预加固 1. 检测并修复弱口令 2. 制定严格的端口管理策略 3. 设置防爆策略 4. 一键更新漏洞补丁 5. 病毒木马检测 进程内防御 1. 通过监控进程、会话、监控资源和其他指标参数以检测异常和可疑行为。
2、结合威胁情报提供的远程控制或高危黑IP,感知可能发生的攻击并进行事后处理。
1、隔离被感染主机:尽快隔离被感染计算机,关闭所有网络连接,禁用网卡。
2、切断传输通道:关闭潜在终端的SMB等网络共享端口,关闭异常的外部访问。
可以开启IPS和僵尸网络功能进行拦截。
3、查找攻击源头:手动抓包分析或使用安全狗小天态势感知平台,快速找到攻击源头,避免继续感染更多主机。
4、病毒检测:建议使用安全狗进行病毒检测,快速分析热点事件,实现对终端威胁的闭环处理和响应。
为了保证用户能够及时有效地清除挖矿病毒,用户可以通过以下联系方式获取专门的清除计划和必要的手动帮助。