關于勒索病毒預警與防護方案
據廣東省通信管理局網站消息,廣東省通信管理局5月12日發布了《關于勒索病毒對關鍵信息基礎設施威脅的預警通報》。
勒索案例
2020年3月
2020年3月某大型金融數據和分析工具服務商位于全國多地的數百臺服務器在一小時內先后被勒索病毒攻擊后,數據被鎖定。
2020年8月
某短視頻制作公司一臺小型網絡存儲器(俗稱nas)被勒索病毒入侵,造成所有視頻素材被鎖。
2021年3月
計算機巨頭宏碁遭到了勒索軟件攻擊,勒索軟件團伙REvil成功入侵宏碁的系統,并公布了部分宏碁的財務電子表格、銀行對賬單,索要的贖金達到5000萬美元(約合3.25億元人民幣)
2021年4月
某機械生產企業3臺服務器中勒索病毒,服務器內積累近20年的圖紙資料都被加密勒索。
2021年5月
外媒報導稱:美國最大輸油管道公司Colonial Pipeline遭勒索軟件攻擊,導致其被迫關閉管道系統
根據騰訊今年發布的《2021上半年勒索病毒趨勢報告及防護方案建議》顯示,在 2021 年上半年,GlobeImposter家族和具有系列變種的Crysis家族等老牌勒索病毒依然活躍,而Phobos、Sodinokibi、Buran、Medusalocker、Avaddon、lockbit、Ryuk、NEMTY等新型勒索病毒家族也有著廣泛流行的趨勢。其中大部分勒索病毒都有著變種多、針對性高、感染量上升快等特點,像Sodinokibi、Medusalocker等病毒甚至呈現針對國內系統定制化的操作。毫無疑問,不斷數字化轉型升級的國內企業已經成為諸多勒索病毒攻擊的重點目標。
從區域上看,國內遭受勒索病毒攻擊中,廣東、浙江、山東、湖北、河南、上海、天津較為嚴重,其它省份也有遭受到不同程度攻擊。而數據價值較高的傳統行業、醫療、政府機構遭受攻擊較為嚴重,占比依次為37%、18%、14%,總計占比高達69%。例如在 2020 年的 8 月和 11 月,多家傳統企業就先后遭到勒索病毒的攻擊,勒索團伙均要求企業支付高額贖金,否則將把盜竊數據在暗網出售。
從勒索病毒感染的行業來看,數據價值較高的傳統行業、醫療、政府機關遭受攻擊較為嚴重,依次占比為37%、18%、14%,總計占比高達69%。
◆ 針對企業用戶定向攻擊 未來勒索病毒將更加多樣化、高頻化
從最初的零星惡作劇,到現在頻發的惡意攻擊,勒索病毒為何能夠如“野草”般生命力頑強,肆意生長?首先,勒索病毒加密手段復雜,解密成本高;其次,使用電子貨幣支付贖金,變現快、追蹤難;最后,勒索軟件服務化的出現,讓攻擊者不需要任何知識,只要支付少量的租金就可以開展勒索軟件的非法勾當,大大降低了勒索軟件的門檻,推動了勒索軟件大規模爆發。
勒索病毒作案實施過程圖
◆ 升級網絡安全措施,做好事前防范是關鍵
面對層出不窮的勒索病毒,無論是企業還是個人用戶,都應該重視網絡安全措施,做好事前防范。在《報告》中提出了“三不三要”思路,即不上鉤、不打開、不點擊、要備份、要確認、要更新。提醒所有用戶面對未知郵件要確認發件人可信,否則不要點開、不要隨便打開電子郵件附件,更不要隨意點擊電子郵件中的附帶網址;同時重要的資料要備份,并保持系統補丁/安全軟件病毒庫的實時更新。
01
勒索病毒傳播途徑
1、網站掛馬
用戶瀏覽掛有木馬病毒的網站,上網終端計算機系統極可能被植入木馬并感染上勒索病毒。
2、郵件傳播
郵件傳播是目前互聯網上常見的病毒傳播方式。攻擊者通過利用當前熱門字樣,在互聯網上撒網式發送垃圾郵件、釣魚郵件,一旦收件人點開帶有勒索病毒的鏈接或附件,勒索病毒就會在計算機后臺靜默運行,實施勒索。
3、漏洞傳播
通過計算機操作系統和應用軟件的漏洞攻擊并植入病毒是近年來流行的病毒傳播方式。最典型的案例是2017年在國內泛濫的WannaCry大規模勒索事件,攻擊者正是利用微軟445端口協議漏洞,進行感染傳播網內計算機。
4、捆綁傳播
攻擊者將勒索病毒與其他軟件尤其是盜版軟件、非法破解軟件、激活工具進行捆綁,從而誘導用戶點擊下載安裝,并隨著宿主文件的捆綁安裝進而感染用戶的計算機系統。
5、介質傳播
攻擊者通過提前植入或通過交叉使用感染等方式將攜有勒索病毒的U盤、光盤等介質進行勒索病毒的移動式傳播。此種傳播途徑往往發生在文印店、公共辦公區域等高頻交叉使用可移動存儲介質的場所,也可能通過廣告活動派發、街區丟棄等方式實現誘導用戶使用攜帶勒索病毒的U盤、光盤。攜帶勒索病毒的光盤、U盤一旦接入計算機,勒索病毒即可能隨著其自動運行或用戶點擊運行導致計算機被感染。
02
防護建議
1、定期做好重要數據、文件的異地/異機容災備份工作,重要系統應采取雙活容災備份;
2、采取必要措施加強計算機系統安全防護,定期開展漏洞掃描和風險評估。
3、及時更新升級系統和應用,修復存在的中高危漏洞;
4、安裝主流殺毒軟件并及時升級病毒庫,定期進行全面病毒掃描查殺;
5、在系統中禁用U盤、移動硬盤、光盤的自動運行功能,不要使用/打開來路不明的U盤、光盤、電子郵件、網址鏈接、文件;
6、在電腦及服務器等終端上關閉445、135、137、138、139、3389、5900等端口;
7、避免使用弱口令,為每臺服務器和終端設置不同口令,且采用大小寫字母、數字、特殊字符混合的高復雜度組合結構,口令位數應8位以上。
8、不要在網上下載安裝盜版軟件、非法破解軟件以及激活工具;
9、關閉不必要的文件共享權限;
10、盡量避免直接對外網映射RDP服務及使用默認端口。
