勒索病毒与其他病毒最大的区别在于感染方式和中毒方式。它利用计算机的某些功能来“锁定”系统,或者对磁盘上的文件进行加密,对信息系统的可用性产生巨大的影响。但是,与其他破坏性病毒不同,勒索软件需要受害者支付赎金才能恢复系统。勒索病毒在传播和感染方面与一般计算机病毒没有区别。它主要从以下几个方向感染目标计算机系统。勒索病毒感染目标计算机系统的五个方向一、系统漏洞与早期利用WindowsRPC/DCOM漏洞攻击全球大部分Windows系统的Shockwave病毒类似,利用永恒之蓝(MS17-010)的Wannacry勒索病毒在全球迅速蔓延。2、应用程序漏洞病毒利用公开的漏洞利用程序攻击易受攻击的应用程序系统,并在操作系统中运行自己的恶意代码,如Weblogic反序列化漏洞、Struts2表达式注入漏洞等。另一种则需要人工或自动化工具挖掘未公开的漏洞来攻击应用系统并运行病毒程序。3.密码和token管理不当,应用配置不当等。比如系统管理员账号密码强度太弱,攻击者可以使用自动化工具暴力破解密码,然后直接通过打开RDP服务(远程桌面服务)服务器,注入恶意程序。4、社会工程利用人的弱点和习惯,结合各种工具漏洞和技术手段,诱导受害者泄露某些秘密或运行某些恶意程序。无论是基于“锁”还是基于加密的勒索软件,其使用的技术和机制都是出于安全目的而设计的,并且有一定的技术可以在不知道密钥/密码信息的情况下破译内容。和时间成本。除非攻击者愿意提供相应的敏感信息,否则被勒索软件绑架的数据基本无法恢复,造成严重的数据丢失。在没有备份文件的情况下,它可能导致系统完全失败甚至报废。五、勒索软件对企业数据安全的影响随着信息化技术的进步,企业在运营过程中越来越依赖ERP、CRM、OA等智能办公系统的核心数据。所谓“三分技术、七分管理、十二分数据”充分说明了数据在信息系统中的核心地位和作用。然而,肆意勒索已经成为企业数据安全的噩梦。2017年,美国制药巨头默克公司遭到严重勒索病毒攻击,造成销售额损失超过1.35亿美元,其他损失超过1.75亿美元,直接损失总额达3.1亿美元美元。全球最大航运公司马士基遭遇NonPetya勒索病毒攻击,导致4000多台业务服务器和45000多台业务终端被恶意加密勒索,迫使业务一度停摆,直接损失超过3亿美元。与此同时,全球最大的快递公司联邦快递也遭到同类勒索病毒的攻击,累计直接损失达3亿美元。此外,乌克兰航空公司、ReckittBenckiserGroup、印第安纳州立医院等一大批企业都遭受了勒索软件的攻击,造成了不同程度的经济和业务损失。放眼中国,随着去年WannaCry病毒的爆发,勒索病毒逐渐为人们所熟知,但在面临严峻的企业数据安全挑战时,大家依然无动于衷,导致被攻击后后悔莫及。国内不少企事业单位、上市公司、大中型民营企业都曾遭受过严重的勒索病毒攻击,且相应的案件还在不断上升,损失也在不断增加。在应对大量勒索软件攻击事件后,我们总结出以下最有可能感染勒索软件的安全隐患:业务便利,内部办公系统安全措施不到位且对外开放;运维方便,内部系统控制服务和数据库管理端口对外开放;操作系统管理、数据库管理、应用服务、业务系统存在弱密码;操作系统和应用程序长期未更新、未打补丁或未安装杀毒软件;办公网络和服务器在同一网络,没有任何隔离措施;没有任何安全保护系统的敏感服务器;无数据备份措施或同机备份;在服务器上随机插入U盘等介质;没有专职网络管理员。勒索病毒趋势自1989年艾滋病木马病毒首次被发现以来,勒索病毒逐渐演化为大量具有自我复制、主动提权、内网传播等高级功能的病毒。尤其是2012年之后,对应的变种数量逐年增加,逐渐形成了一条庞大的黑色产业链。安衡信息研究院研究人员通过大量统计分析发现,大量样本利用了近期爆发的Windows系统严重安全漏洞,可以自动感染传播,对用户造成严重危害。服务器和工作终端。据专业评估机构对近年来全球勒索病毒对企业数据造成的影响的损失测算,2019年全球因勒索病毒造成的损失将达到115亿美元,相当于一个中等国家的年GDP。发达国家。抑制其他计算机病毒。企业信息化是企业可持续发展的基础条件。其CRM、ERP、OA等重要办公系统,涉及生产制造、研发创新、营销、财务人力资源、采购审计等,将成为众矢之的。一旦感染,损失将是巨大的。很悲惨。勒索软件防范措施及应急响应首先要做的是超前防护和预警。当勒索软件爆发时,为时已晚。勒索软件安全防范可以从以下几个方面进行:1、在应用端备份数据时,至少要做好异机备份,防止服务器被攻击后系统完全瘫痪无法恢复。最好多备份,包括热备、容灾等。定期关注相关应用厂商的公告和漏洞提醒,测试后及时更新,防止攻击者通过Xday漏洞攻击服务器。定期对应用程序进行渗透测试,以确保应用程序的安全。如果是第三方软件,测试周期可以延长。管理应用程序中的密码,同时保存应用程序审核信息。2、操作系统方面,检查操作系统的加固情况。及时更新关键操作系统补丁。定期使用漏洞扫描工具检测操作系统,发现潜在的已知或未知漏洞。保存相关审计数据。安装终端保护软件和网络安全解决方案。部署防火墙、应用防火墙、入侵防御系统(IPS)等特殊安全设备。有条件的可增设其他安全设备和审计设备,如数据库审计设备、日志审计设备等。3、从管理层面,组织相关安全意识和应急响应培训,提高人身安全意识。如果可能,记录内部操作以方便审计。安全没有绝对,百密无一漏。如果我们真的被勒索软件绑架了,我们需要尽可能减少损失。首先是将受影响的服务器从网络中下线,避免病毒的进一步传播,控制病毒的传播范围和损失。立即联系安全厂商和专业人员进行处理。如果处于勒索病毒攻击的早期阶段(未能对系统中的所有数据进行加密),可以通过中断勒索病毒程序来减少损失。更直接简单的方法是切断电源。虽然这不可避免地会产生一些额外的数据丢失风险(缓存、内存中的数据),但它基本上可以防止勒索软件进一步加密系统文件并破坏整个系统。然后用PE工具读盘,备份所有数据,尝试恢复。另一种方法是使用一些安全工具,暂时删除正在运行的勒索病毒,并对数据进行紧急备份。后期可以分析提取有价值的数据,但可能会导致操作系统崩溃等其他情况。如果勒索病毒已经运行了一段时间,已经完成加密锁定,需要保存备份做进一步分析,确认病毒的加密方式,是否有有效的未加密数据,是否可以恢复等,在试图恢复被勒索病毒绑架的数据之前,需要尽可能确认攻击者的攻击路径,避免在线热备服务器在短时间内再次受到攻击。
