該病毒首次大規模爆發(fā)于2017年5月,至少150個(gè)國家、30萬(wàn)名用戶(hù)中招,造成損失達80億美元,全球政府、教育、醫院、能源、通信、制造業(yè)等關(guān)鍵基礎設施行業(yè)都遭到了空前巨大的損失。
據《2018年上半年中國網(wǎng)絡(luò )安全報告》顯示,國內共有近500萬(wàn)臺主機感染勒索病毒,勒索病毒已經(jīng)成為最大網(wǎng)絡(luò )安全威脅之一。
WannaCry勒索病毒,是怎么一回事呢?
下面就由云寶給大家科普一下
什么是勒索病毒
勒索病毒是通過(guò)網(wǎng)絡(luò )勒索金錢(qián)或虛擬貨幣的常用方法,它是一種新型電腦病毒,主要以程序木馬、網(wǎng)頁(yè)掛馬、郵件、文件共享等形式進(jìn)行傳播。勒索病毒利用各種加密算法加密目標用戶(hù)的文件、應用程序、數據庫信息和業(yè)務(wù)系統相關(guān)的重要信息,直到受害者支付贖金才能通過(guò)攻擊者提供的密匙恢復訪(fǎng)問(wèn)。
勒索病毒主要入侵手段
2018年以來(lái),華為云安全團隊已收到和處理了數十起用戶(hù)核心業(yè)務(wù)服務(wù)器被黑客進(jìn)行勒索的安全事件。從發(fā)起攻擊的方式來(lái)看,賬戶(hù)暴力破擊攻擊、系統和軟件漏洞、Windows文件共享、WebShell是勒索軟件最常用的攻擊手段。
1、賬戶(hù)暴力破解攻擊,是指攻擊者通過(guò)系統地組合所有可能性(例如登錄時(shí)用到的賬戶(hù)名、密碼),嘗試所有的可能破解用戶(hù)的賬戶(hù)名、密碼等敏感信息的攻擊手段。攻擊者經(jīng)常使用自動(dòng)化腳本組合用戶(hù)的賬號和密碼。由于許多服務(wù)器使用弱密碼,極易被黑客暴力破解,所以暴力破解入侵服務(wù)器一直以來(lái)都是成功率較高、感染范圍較大的一種攻擊方式。
2、通過(guò)系統漏洞和軟件漏洞傳播擴散已經(jīng)成為勒索軟件的第二大攻擊方式,去年震驚世界的WannaCry勒索病毒就是利用微軟的永恒之藍漏洞進(jìn)行傳播。WannaCry的本質(zhì)是一個(gè)蠕蟲(chóng)病毒,該蠕蟲(chóng)利用永恒之藍漏洞感染一臺主機后,會(huì )自動(dòng)啟動(dòng)漏洞利用模塊將所有本地子網(wǎng)內的主機作為目標,并且也將局域網(wǎng)外的隨機IP網(wǎng)段作為攻擊目標,從而實(shí)現在全球范圍內快速傳播。盡管微軟已經(jīng)在2017年3月公布了這個(gè)漏洞的補丁,但是還有許多未打補丁的主機受在到此次WannaCry事件傳播的影響。
:注意,重點(diǎn)來(lái)了~
如何預防勒索病毒
應急處置(已經(jīng)中招)
對已經(jīng)中招勒索病毒的用戶(hù),主要任務(wù)在于避免勒索病毒在內網(wǎng)中進(jìn)一步擴散,并快速恢復數據及業(yè)務(wù),云寶為您總結以下措施:
- 第一時(shí)間隔離被感染主機與其他主機,防止勒索病毒的進(jìn)一步擴散。
- 對被感染主機所在區域的主機進(jìn)行安全風(fēng)險排查,包括黑客賬戶(hù)、開(kāi)放端口、漏洞、不安全配置(弱密碼等)、惡意程序(木馬后門(mén))等。
- 利用備份數據重新搭建全新的平臺。新平臺搭建完成后,對主機進(jìn)行安全加固,防止再次感染勒索病毒。
預防方案(提前預防)
一旦勒索病毒攻擊成功,已經(jīng)對數據進(jìn)行加密,用戶(hù)損失是幾乎無(wú)法避免的,因此提前預防是重中之重。在這里,云寶為您總結以下四大絕招和所需服務(wù):
1) 數據備份
預防勒索病毒最重要的就是要做好數據備份。可靠的數據備份可以將勒索病毒帶來(lái)的損失最小化,用戶(hù)可以利用備份數據快速恢復平臺和業(yè)務(wù)。因此,在對業(yè)務(wù)系統及數據進(jìn)行備份的同時(shí),還需要驗證備份系統及備份數據的可用性,一旦主系統遭受攻擊,保障備份業(yè)務(wù)系統可以立即啟用;同時(shí),做好主系統與備份系統的安全隔離工作,避免兩系統同時(shí)被感染、被攻擊。
推薦服務(wù)與工具:云服務(wù)器備份,云硬盤(pán)備份,云數據庫RDS提供的數據備份功能等。
2) 網(wǎng)絡(luò )訪(fǎng)問(wèn)控制
精細化的網(wǎng)絡(luò )管理是業(yè)務(wù)的第一道屏障。通過(guò)有效的安全區域劃分、訪(fǎng)問(wèn)控制和準入機制可以防止或減緩滲透范圍,可以阻止不必要的人員進(jìn)入業(yè)務(wù)環(huán)境。例如典型的網(wǎng)站架構從外到內可以劃分成Web服務(wù)器區、中間件服務(wù)器區、數據庫服務(wù)器區等,并且只允許外部用戶(hù)訪(fǎng)問(wèn)Web服務(wù)器區,Web服務(wù)器區只能與中間件服務(wù)器區單向通信,不能直接訪(fǎng)問(wèn)數據庫服務(wù)器區等。
推薦服務(wù)與工具:虛擬私有網(wǎng)絡(luò )(VPC)、安全組
3) 主機安全加固
- 檢測與加固弱密碼:配置好系統登錄密碼策略,避免使用弱密碼,要使用符合密碼策略的強密碼,避免多系統使用同一密碼或免密登錄。妥善管理密碼信息,并定期修改密碼。
- 檢測與修復漏洞:企業(yè)IT管理人員需要定期對操作系統和業(yè)務(wù)軟件資產(chǎn)進(jìn)行安全漏洞掃描,并且盡快修復掃描發(fā)現的漏洞。同時(shí),日常也應該定期關(guān)注軟件廠(chǎng)商發(fā)布的安全漏洞信息和補丁信息,及時(shí)做好漏洞修復管理工作。
- 關(guān)閉非必要端口:根據業(yè)務(wù)模型確定使用哪些端口,關(guān)閉非必要使用的端口,特別是Windows文件共享服務(wù)、遠程桌面控制、Telnet和SNMP等不必要、不安全服務(wù)所使用的端口。
推薦服務(wù)與工具:
- 企業(yè)主機安全服務(wù):能夠檢測主機存在的弱口令、不安全配置、漏洞和開(kāi)放端口等信息,并給出修復與加固建議,運維人員可以根據建議對主機進(jìn)行安全加固。
- 安全專(zhuān)家服務(wù):通過(guò)其中的主機安全加固服務(wù),由國家信息安全測評中心的專(zhuān)業(yè)人員對主機進(jìn)行安全加固。
4) 阻止入侵行為
攻擊者的入侵行為是投放勒索病毒的前奏與主要手段。用戶(hù)需要安裝主機安全軟件,對所有業(yè)務(wù)關(guān)鍵點(diǎn)進(jìn)行實(shí)時(shí)監控,當發(fā)現入侵行為時(shí),立即介入處理,防止攻擊者入侵成功后投毒。
推薦服務(wù)與工具:企業(yè)主機安全服務(wù)的入侵檢測功能能夠有效檢測和阻斷賬戶(hù)暴力破解攻擊、WebShell(網(wǎng)站后門(mén))、與木馬后門(mén)等惡意程序。
以上,就是云寶為大家提供的勒索病毒錦囊妙計了,其中相關(guān)的安全服務(wù)詳細介紹,請添加公眾號“閱讀原文”。
