域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過
勒索病毒 是什么?
勒索病毒,是一種新型電腦病毒,主要以郵件、程序木馬、網(wǎng)頁掛馬的形式進(jìn)行傳播。該病毒性質(zhì)惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。
攻擊的樣本以exe、js、wsf、vbe等類型為主,勒索病毒文件進(jìn)入本地后,就會(huì)自動(dòng)運(yùn)行,同時(shí)刪除勒索軟件樣本,以躲避查殺和分析。接下來,勒索病毒會(huì)利用本地的互聯(lián)網(wǎng)訪問權(quán)限連接至勒索者的C&C服務(wù)器,進(jìn)而上傳本機(jī)信息并下載加密私鑰與公鑰,文件會(huì)被以AES+RSA4096位的算法加密。除了病毒開發(fā)者本人,其他人是幾乎不可能解密的。
加密完成后,還會(huì)修改壁紙,在桌面等明顯位置生成勒索提示文件,指導(dǎo)用戶去繳納贖金,即必須支付勒索資金,才能拿到解密的私鑰,或者選擇丟失文件。勒索病毒變種類型非??欤瑢?duì)常規(guī)的殺毒軟件都具有免疫性。
據(jù)公開資料顯示,全球最早的勒索病毒雛形誕生于1989年,由Joseph Popp編寫,該木馬程序以“艾滋病信息引導(dǎo)盤”的形式進(jìn)入系統(tǒng)。
中國(guó)大陸第一個(gè)勒索軟件——Redplus勒索木馬(Trojan/Win32.Pluder)出現(xiàn)在2006年,該木馬會(huì)隱藏用戶文檔和包裹文件,然后彈出窗口要求用戶將贖金匯入指定銀行賬號(hào)。
2019年勒索病毒事件
2019年應(yīng)該是勒索病毒針對(duì)企業(yè)攻擊爆發(fā)的一年,這一年全球各地仿佛都在被“勒索”,每天全球各地都有不同的政府、企業(yè)、組織機(jī)構(gòu)被勒索病毒攻擊的新聞被曝光,包括醫(yī)療信息,帳戶憑證,公司電子郵件和機(jī)密敏感的數(shù)據(jù)被盜。
下面我們來盤點(diǎn)部分2019年全球勒索病毒事件。
3月,在挪威,全球最大鋁制品生產(chǎn)商之一 Norsk Hydro遭遇勒索軟件LockerGoga攻擊,全球整個(gè)網(wǎng)絡(luò)都宕機(jī),影響所有的生產(chǎn)系統(tǒng)以及辦事處運(yùn)營(yíng),公司被迫關(guān)閉多條自動(dòng)化生產(chǎn)線,震蕩全球鋁制品交易市場(chǎng)。
5月,中國(guó)某網(wǎng)約車平臺(tái)遭勒索軟件定向打擊,服務(wù)器核心數(shù)據(jù)慘遭加密,攻擊者索要巨額比特幣贖金,無奈之下向公安機(jī)關(guān)報(bào)警求助。
5月,美國(guó)佛羅里達(dá)州里維埃拉,遭到勒索軟件攻擊,各項(xiàng)市政工作停擺幾周,市政緊急會(huì)議決定支付60萬美元的贖金。
6月,全球最大飛機(jī)零件供應(yīng)商ASCO,在比利時(shí)的工廠遭遇勒索病毒攻擊,生產(chǎn)環(huán)境系統(tǒng)癱瘓,大約1000名工人停工,在德國(guó)、加拿大和美國(guó)的工廠也被迫停工。
10月,全球最大的助聽器制造商Demant,遭勒索軟件入侵,直接經(jīng)濟(jì)損失高達(dá)9500萬美元。
10月,全球知名航運(yùn)和電子商務(wù)巨頭Pitney Bowes遭受勒索軟件攻擊,攻擊者加密公司系統(tǒng)數(shù)據(jù),破壞其在線服務(wù)系統(tǒng),超九成財(cái)富全球500強(qiáng)合作企業(yè)受波及。
10月,法國(guó)最大商業(yè)電視臺(tái)M6 Group慘遭勒索軟件洗劫,公司電話、電子郵件、辦公及管理工具全部中斷,集體被迫“罷工”。
......
2019年五大勒索病毒
1 GandCrab勒索病毒
2018年GandCrab首次出現(xiàn),經(jīng)過5次版本迭代,波及羅納尼亞、巴西、印度等數(shù)十國(guó)家地區(qū),全球累計(jì)超過150萬用戶受到感染。在很多人看來,GandCrab勒索病毒絕對(duì)是2019年最傳奇的角色。
今年6月,GandCrab勒索軟件團(tuán)隊(duì)高調(diào)宣布,僅一年半的時(shí)間里,團(tuán)隊(duì)已賺進(jìn)超過20億美金,人均年入賬1.5億美金,所以決定停止更新這個(gè)惡意程序,風(fēng)光隱退。
2 Sodinokibi勒索病毒
Sodinokibi又稱REvil勒索病毒,與GandCrab有著明顯的代碼重疊,因此很多人推測(cè),GandCrab的部分成員不愿收手,另起爐灶而運(yùn)營(yíng)的Sodinokibi。
Sodinokibi的部分變種會(huì)將受害者屏幕變成深藍(lán)色,并且以2500-5000美金不等的贖金全球撒網(wǎng),在不到半年時(shí)間,該勒索病毒已非法獲利數(shù)百萬美元。
3 GlobeImposter勒索病毒
談起2019的勒索病毒,就必須要提到GlobeImposter。該勒索病毒又稱“十二生肖”病毒,因?yàn)樗ト胗?jì)算機(jī)內(nèi)部后,會(huì)以“十二生肖英文名+4444”的文件后綴,對(duì)文件進(jìn)行加密。而GlobeImposter自2017年5月首發(fā)至今,已經(jīng)歷八個(gè)版本迭代,并且后綴也從“十二生肖”,變身希臘“十二主神”。
GlobeImposter病毒主要通過rdp遠(yuǎn)程桌面弱口令進(jìn)行攻擊,去年山東10市不動(dòng)產(chǎn)系統(tǒng)遭到它的攻擊,今年國(guó)內(nèi)又有多家企業(yè)、醫(yī)院等機(jī)構(gòu)中招。
4 Stop勒索病毒
Stop勒索病毒,也被稱作djvu勒索病毒,是2019年最為活躍的病毒家族之一。相比于動(dòng)輒百萬、千萬美金的勒索軟件,Stop走薄利多銷的斂財(cái)路線,解密贖金需要980美元,并且72小時(shí)聯(lián)系軟件作者還可享五折優(yōu)惠。
該病毒主要利用木馬站點(diǎn),通過偽裝成軟件破解工具或捆綁在激活軟件進(jìn)行傳播,用戶中招率奇高。
5 Phobos勒索病毒
Phobos是一款非常棘手的勒索病毒,它采用RDP暴力破解+人工投放雙重方式傳播,并且可以輕松加密受害者PC上的每個(gè)文件,把它們?nèi)孔兂蔁o法打開的.phobos。
Phobos病毒可能與Dharma病毒(又名CrySis)屬于同一組織,并且該病毒在運(yùn)行過程中會(huì)進(jìn)行自復(fù)制,和在注冊(cè)表添加自啟動(dòng)項(xiàng),如果沒有把系統(tǒng)殘留的病毒體清理干凈,很可能會(huì)遭遇二次加密。
預(yù)防勒索病毒 措施
1、登錄口令盡量采用大小寫字母、數(shù)字、特殊符號(hào)混用的組合方式,并且保持口令由足夠的長(zhǎng)度,同時(shí)添加限制登錄失敗次數(shù)的安全策略并定期更換登錄口令。
2、多臺(tái)機(jī)器不要使用相同或類似的登錄口令,以免出現(xiàn)"一臺(tái)淪陷,全網(wǎng)癱瘓"的慘狀。
3、及時(shí)修補(bǔ)系統(tǒng)漏洞,同時(shí)不要忽略各種常用服務(wù)的安全補(bǔ)丁。
4、關(guān)閉非必要的服務(wù)和端口如135、139、445、3389等高危端口。
5、嚴(yán)格控制共享文件夾權(quán)限,在需要共享數(shù)據(jù)的部分,盡可能的多采取云協(xié)作的方式。
6、提高安全意識(shí),不隨意點(diǎn)擊陌生鏈接、來源不明的郵件附件、陌生人通過即時(shí)通訊軟件發(fā)送的文件,在點(diǎn)擊或運(yùn)行前進(jìn)行安全掃描,盡量從安全可信的渠道下載和安裝軟件。
7、安裝專業(yè)的安全防護(hù)軟件并確保安全監(jiān)控正常開啟并運(yùn)行,及時(shí)對(duì)安全軟件進(jìn)行更新。
8、業(yè)務(wù)數(shù)據(jù)一定要定期備份。對(duì)于重要、機(jī)密的文件數(shù)據(jù)甚至需要做容災(zāi)備份處理,到達(dá)異地?cái)?shù)據(jù)實(shí)時(shí)備份與恢復(fù)標(biāo)準(zhǔn)。
通過觀察勒索病毒攻擊趨勢(shì),它已經(jīng)從廣泛而淺層的普通用戶,明顯轉(zhuǎn)向了中大型政企機(jī)構(gòu)、行業(yè)組織。有安全報(bào)告表明,自2018年6月以來,全球針對(duì)To B的勒索攻擊增加了363%。
同時(shí),勒索病毒變種極快,傳播途徑增多,解密贖金也在瘋漲,這些特點(diǎn)導(dǎo)致殺毒軟件升級(jí)速度無法及時(shí)跟上病毒變種速度,解密工具無法有效應(yīng)對(duì)被勒索后的數(shù)據(jù)解密,對(duì)企業(yè)、政府、單位來說,一旦感染勒索病毒,帶來的影響不可估量。
針對(duì)各種預(yù)防勒索病毒措施,不難總結(jié)出,數(shù)據(jù)備份才是應(yīng)對(duì)勒索病毒的最終有效手段,在發(fā)生勒索事件前定期或者實(shí)時(shí)備份重要的業(yè)務(wù)數(shù)據(jù),在發(fā)生勒索事件后,快速恢復(fù)備份數(shù)據(jù),拉起業(yè)務(wù)運(yùn)行,無需放棄被加密數(shù)據(jù),也無需支付勒索贖金。
云祺針對(duì) 勒索病毒的的應(yīng)對(duì)措施
1 有效監(jiān)測(cè)勒索病毒,源頭預(yù)防事件發(fā)生
自動(dòng)檢查文件的合法性,當(dāng)文件類型被修改或文件被加密時(shí)能夠及時(shí)發(fā)現(xiàn),不會(huì)同步變化數(shù)據(jù)到備份服務(wù)器,從而有效防止勒索病毒再入侵。
2 按需靈活備份業(yè)務(wù)數(shù)據(jù)
云祺虛擬機(jī)備份與恢復(fù)系統(tǒng)(Vinchin Backup & Recovery)提供靈活的備份模式和時(shí)間備份策略,在勒索病毒來臨前,按需設(shè)置備份任務(wù),即可擁有有效備份數(shù)據(jù)。
3 驗(yàn)證備份數(shù)據(jù)可用性,保證隨時(shí)可用
能在虛擬機(jī)感染勒索病毒后,將云環(huán)境中數(shù)據(jù)及應(yīng)用快速恢復(fù)至可用狀態(tài),并可根據(jù)需求將備份數(shù)據(jù)快速恢復(fù)到之前的任意時(shí)間點(diǎn)。
4 實(shí)時(shí)備份實(shí)現(xiàn)RPO=0
云祺容災(zāi)備份系統(tǒng)(VINCHIN DR)支持實(shí)時(shí)備份,實(shí)時(shí)監(jiān)控每一次 IO 變化,并通過增量方式記錄變化數(shù)據(jù),無備份時(shí)間窗口,真正實(shí)現(xiàn)數(shù)據(jù)零丟失,備份恢復(fù)至被勒索病毒感染的前一刻,最小備份恢復(fù)力度可達(dá)毫秒級(jí)。
5 構(gòu)建異地容災(zāi)備份系統(tǒng),本地異地雙重保護(hù)
云祺數(shù)據(jù)解決方案可幫助用戶建設(shè)異地容災(zāi)系統(tǒng),異地備份系統(tǒng)與生產(chǎn)環(huán)境相互隔離,副本任務(wù)獨(dú)立,且不會(huì)對(duì)主備份產(chǎn)成影響。即使本地業(yè)務(wù)系統(tǒng)因勒索病毒導(dǎo)致業(yè)務(wù)暫時(shí)中斷,也可在異地拉起業(yè)務(wù),實(shí)現(xiàn)業(yè)務(wù)接管。
在網(wǎng)絡(luò)安全威脅事件遞增、擴(kuò)散、高發(fā)的現(xiàn)當(dāng)下,不論選擇怎樣的方式進(jìn)行預(yù)防、解決,提高網(wǎng)絡(luò)完全意識(shí)是第一步。沒有絕對(duì)安全的互聯(lián)網(wǎng)環(huán)境,但可以選擇盡量避免意外的發(fā)生、減少意外帶來的損失,相對(duì)的安全也變得越發(fā)可貴。
關(guān)于更多預(yù)防勒索病毒的數(shù)據(jù)解決方案可拔打云祺客服熱線400-9955-698,或者官網(wǎng)(www.vinchin.com)了解詳情。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!