网络安全

勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。

 

一、传播途径

勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战.

据监测,勒索病毒主要通过三种途径传播:漏洞、邮件和广告推广。

通过漏洞发起的攻击占攻击总数的87.7%。由于win7、xp等老旧系统存在大量无法及时修复的漏洞,而政府、企业、学校、医院等局域网机构用户使用较多的恰恰是win7、xp等老旧系统,因此也成为病毒攻击的重灾区,病毒可以通过漏洞在局域网中无限传播。相反,win10系统因为强制更新,几乎不受漏洞攻击的影响。

通过邮件与广告推广的攻击分别为7.4%、3.9%。虽然这两类传播方式占比较少,但对于有收发邮件、网页浏览需求的企业而言,依旧会受到威胁。此外,对于某些特别依赖U盘、记录仪办公的局域网机构用户来说,外设则成为勒索病毒攻击的特殊途径。 

 

二、应对方案

根据勒索病毒的特点可以判断,其变种通常可以隐藏特征,但却无法隐藏其关键行为,经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面:

1、通过脚本文件进行Http请求;

2、通过脚本文件下载文件;

3、读取远程服务器文件;

4、收集计算机信息;

5、遍历文件;

6、调用加密算法库。

为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:

1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击;

2、尽量不要点击office宏运行提示,避免来自office组件的病毒感染;

3、需要的软件从正规(官网)途径下载,不要双击打开.js、.vbs等后缀名文件;

4、升级到最新的防病毒等安全特征库;

5、升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;

6、定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复。

 

三、针对校园网环境,我们建议:

1.及时更新系统打补丁此次漏洞(主要攻击手段利用漏洞传播,或许是挂马)主要涉及微软的MS17-010漏洞只要有可能,不仅限于这一个补丁,能打的涉及安全的补丁都补齐,用自带的windows update打是可以的,第三方安全软件帮助下载补丁的也没问题。这个只能缓解病毒危害,请尽量升级电脑的操作系统

2.选择合适的杀毒软件进行防御。比较常见的如金山毒霸、腾讯管家、360等,建议根据个人情况选择使用。

3.平时上网尽量使用非IE内核浏览器(win10的edge, chrome,火狐,以及国内的大量浏览器),有助于防御利用网页漏洞传播的勒索病毒。

4. 关闭445、135、137、138、1393389端口;打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则有可能的话,把系统换成win10有助于降低风险。

5. 强化网络安全意识:不明链接不要点击、不明文件不要下载、不明邮件不要打开。尽量不要运行一些破解软件,外挂,以及看起来就可疑的软件,谨慎处理不明邮件附件。

6. 备份永远是防御勒索病毒最后的,也是最可靠的办法,请做定期好数据备份,重要数据建议本机+移动硬盘+网盘一起备份。

7. 停止使用WindowsXP、Windows Server 2003等微软已不再提供安全更新的操作系统。

XML 地图 | Sitemap 地图