該病毒首次大規(guī)模爆發(fā)于2017年5月,至少150個(gè)國家、30萬名用戶中招,造成損失達(dá)80億美元,全球政府、教育、醫(yī)院、能源、通信、制造業(yè)等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)都遭到了空前巨大的損失。
據(jù)《2018年上半年中國網(wǎng)絡(luò)安全報(bào)告》顯示,國內(nèi)共有近500萬臺主機(jī)感染勒索病毒,勒索病毒已經(jīng)成為最大網(wǎng)絡(luò)安全威脅之一。
WannaCry勒索病毒,是怎么一回事呢?
下面就由云寶給大家科普一下
什么是勒索病毒
勒索病毒是通過網(wǎng)絡(luò)勒索金錢或虛擬貨幣的常用方法,它是一種新型電腦病毒,主要以程序木馬、網(wǎng)頁掛馬、郵件、文件共享等形式進(jìn)行傳播。勒索病毒利用各種加密算法加密目標(biāo)用戶的文件、應(yīng)用程序、數(shù)據(jù)庫信息和業(yè)務(wù)系統(tǒng)相關(guān)的重要信息,直到受害者支付贖金才能通過攻擊者提供的密匙恢復(fù)訪問。
勒索病毒主要入侵手段
2018年以來,華為云安全團(tuán)隊(duì)已收到和處理了數(shù)十起用戶核心業(yè)務(wù)服務(wù)器被黑客進(jìn)行勒索的安全事件。從發(fā)起攻擊的方式來看,賬戶暴力破擊攻擊、系統(tǒng)和軟件漏洞、Windows文件共享、WebShell是勒索軟件最常用的攻擊手段。
1、賬戶暴力破解攻擊,是指攻擊者通過系統(tǒng)地組合所有可能性(例如登錄時(shí)用到的賬戶名、密碼),嘗試所有的可能破解用戶的賬戶名、密碼等敏感信息的攻擊手段。攻擊者經(jīng)常使用自動化腳本組合用戶的賬號和密碼。由于許多服務(wù)器使用弱密碼,極易被黑客暴力破解,所以暴力破解入侵服務(wù)器一直以來都是成功率較高、感染范圍較大的一種攻擊方式。
2、通過系統(tǒng)漏洞和軟件漏洞傳播擴(kuò)散已經(jīng)成為勒索軟件的第二大攻擊方式,去年震驚世界的WannaCry勒索病毒就是利用微軟的永恒之藍(lán)漏洞進(jìn)行傳播。WannaCry的本質(zhì)是一個(gè)蠕蟲病毒,該蠕蟲利用永恒之藍(lán)漏洞感染一臺主機(jī)后,會自動啟動漏洞利用模塊將所有本地子網(wǎng)內(nèi)的主機(jī)作為目標(biāo),并且也將局域網(wǎng)外的隨機(jī)IP網(wǎng)段作為攻擊目標(biāo),從而實(shí)現(xiàn)在全球范圍內(nèi)快速傳播。盡管微軟已經(jīng)在2017年3月公布了這個(gè)漏洞的補(bǔ)丁,但是還有許多未打補(bǔ)丁的主機(jī)受在到此次WannaCry事件傳播的影響。
:注意,重點(diǎn)來了~
如何預(yù)防勒索病毒
應(yīng)急處置(已經(jīng)中招)
對已經(jīng)中招勒索病毒的用戶,主要任務(wù)在于避免勒索病毒在內(nèi)網(wǎng)中進(jìn)一步擴(kuò)散,并快速恢復(fù)數(shù)據(jù)及業(yè)務(wù),云寶為您總結(jié)以下措施:
- 第一時(shí)間隔離被感染主機(jī)與其他主機(jī),防止勒索病毒的進(jìn)一步擴(kuò)散。
- 對被感染主機(jī)所在區(qū)域的主機(jī)進(jìn)行安全風(fēng)險(xiǎn)排查,包括黑客賬戶、開放端口、漏洞、不安全配置(弱密碼等)、惡意程序(木馬后門)等。
- 利用備份數(shù)據(jù)重新搭建全新的平臺。新平臺搭建完成后,對主機(jī)進(jìn)行安全加固,防止再次感染勒索病毒。
預(yù)防方案(提前預(yù)防)
一旦勒索病毒攻擊成功,已經(jīng)對數(shù)據(jù)進(jìn)行加密,用戶損失是幾乎無法避免的,因此提前預(yù)防是重中之重。在這里,云寶為您總結(jié)以下四大絕招和所需服務(wù):
1) 數(shù)據(jù)備份
預(yù)防勒索病毒最重要的就是要做好數(shù)據(jù)備份。可靠的數(shù)據(jù)備份可以將勒索病毒帶來的損失最小化,用戶可以利用備份數(shù)據(jù)快速恢復(fù)平臺和業(yè)務(wù)。因此,在對業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進(jìn)行備份的同時(shí),還需要驗(yàn)證備份系統(tǒng)及備份數(shù)據(jù)的可用性,一旦主系統(tǒng)遭受攻擊,保障備份業(yè)務(wù)系統(tǒng)可以立即啟用;同時(shí),做好主系統(tǒng)與備份系統(tǒng)的安全隔離工作,避免兩系統(tǒng)同時(shí)被感染、被攻擊。
推薦服務(wù)與工具:云服務(wù)器備份,云硬盤備份,云數(shù)據(jù)庫RDS提供的數(shù)據(jù)備份功能等。
2) 網(wǎng)絡(luò)訪問控制
精細(xì)化的網(wǎng)絡(luò)管理是業(yè)務(wù)的第一道屏障。通過有效的安全區(qū)域劃分、訪問控制和準(zhǔn)入機(jī)制可以防止或減緩滲透范圍,可以阻止不必要的人員進(jìn)入業(yè)務(wù)環(huán)境。例如典型的網(wǎng)站架構(gòu)從外到內(nèi)可以劃分成Web服務(wù)器區(qū)、中間件服務(wù)器區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)等,并且只允許外部用戶訪問Web服務(wù)器區(qū),Web服務(wù)器區(qū)只能與中間件服務(wù)器區(qū)單向通信,不能直接訪問數(shù)據(jù)庫服務(wù)器區(qū)等。
推薦服務(wù)與工具:虛擬私有網(wǎng)絡(luò)(VPC)、安全組
3) 主機(jī)安全加固
- 檢測與加固弱密碼:配置好系統(tǒng)登錄密碼策略,避免使用弱密碼,要使用符合密碼策略的強(qiáng)密碼,避免多系統(tǒng)使用同一密碼或免密登錄。妥善管理密碼信息,并定期修改密碼。
- 檢測與修復(fù)漏洞:企業(yè)IT管理人員需要定期對操作系統(tǒng)和業(yè)務(wù)軟件資產(chǎn)進(jìn)行安全漏洞掃描,并且盡快修復(fù)掃描發(fā)現(xiàn)的漏洞。同時(shí),日常也應(yīng)該定期關(guān)注軟件廠商發(fā)布的安全漏洞信息和補(bǔ)丁信息,及時(shí)做好漏洞修復(fù)管理工作。
- 關(guān)閉非必要端口:根據(jù)業(yè)務(wù)模型確定使用哪些端口,關(guān)閉非必要使用的端口,特別是Windows文件共享服務(wù)、遠(yuǎn)程桌面控制、Telnet和SNMP等不必要、不安全服務(wù)所使用的端口。
推薦服務(wù)與工具:
- 企業(yè)主機(jī)安全服務(wù):能夠檢測主機(jī)存在的弱口令、不安全配置、漏洞和開放端口等信息,并給出修復(fù)與加固建議,運(yùn)維人員可以根據(jù)建議對主機(jī)進(jìn)行安全加固。
- 安全專家服務(wù):通過其中的主機(jī)安全加固服務(wù),由國家信息安全測評中心的專業(yè)人員對主機(jī)進(jìn)行安全加固。
4) 阻止入侵行為
攻擊者的入侵行為是投放勒索病毒的前奏與主要手段。用戶需要安裝主機(jī)安全軟件,對所有業(yè)務(wù)關(guān)鍵點(diǎn)進(jìn)行實(shí)時(shí)監(jiān)控,當(dāng)發(fā)現(xiàn)入侵行為時(shí),立即介入處理,防止攻擊者入侵成功后投毒。
推薦服務(wù)與工具:企業(yè)主機(jī)安全服務(wù)的入侵檢測功能能夠有效檢測和阻斷賬戶暴力破解攻擊、WebShell(網(wǎng)站后門)、與木馬后門等惡意程序。
以上,就是云寶為大家提供的勒索病毒錦囊妙計(jì)了,其中相關(guān)的安全服務(wù)詳細(xì)介紹,請?zhí)砑庸娞?ldquo;閱讀原文”。
