简单来说勒索病毒就是使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财和赎金。用户数据资产包括:文档、邮件、数据库、源代码、图片、压缩文件等。赎金形式包括真实货币、比特币或其它虚拟货币。
勒索病毒作者会设定一个支付时限,有时赎金数目会随着时间的推移而上涨。有时即使用户支付了赎金,最终也还是无法正常使用系统,无法还原被加密的文件。总的来说,勒索病毒是劫持数据以索求赎金的一类恶意软件,会导致重要数据损坏、财产损失和信息泄露等严重危害。
二、未雨绸缪,防范未然
1、首先我们可以开启Windows防火墙,并关闭445、135、137、138、139端口双向流量,关闭网络共享功能。 步骤如下:
-
「控制面板」>「Windows防火墙」>「打开或关闭Windows防火墙」>「启用Windows防火墙」
-
在「Windows防火墙」的「高级设置」中新建「入站规则」,「规则类型」选择「端口」
-
规则应用于「TCP」,「特定本地端口」填入「135,137-139,445」
-
选择「阻止连接」操作
-
将规则应用于「域」、「专用」、「公用」,并设置规则名称即可。出站规则依此类推。
-
停止网络共享服务,在命令行中属于以下命令,禁用并停止Windows共享相关服务
sc configBrowser start= disabled
sc stopBrowser
sc configLanmanServer start= disabled
scstop LanmanServer
2、如果有部署安全设备要尽可能及时保持更新,例如山石网科防火墙AV及IPS特征库升级至最新版本,同时设置阻断策略。
IPS 规则设置方法:
「对象」>「入侵防御」>「模板」,点击「新建」,规则如下:
设置完毕在策略中绑定设置的IPS规则。
AV 设置方法:
在策略中启用病毒过滤,模板选择预定义的「predef_high」即可。
为了保证IPS和AV规则的工作,除了升级IPS和AV库至最新版本外,建议升级设备的应用特征库至最新版本,同时检查目的安全域的应用识别功能为「启用」状态。查看方式如下:
「网络」>「安全域」,选中对应的目的安全域,点击“编辑”:
3、不点击不明广告和链接,屏蔽和阻拦弹窗广告。
4、尽量不要安装盗版破解软件!大部分的盗版软件都带有后门或木马,所以一定要安装和使用可信来源的应用服务。
6、及时更新系统和打补丁,包括中间件、数据库都一样,所有的勒索病毒都会利用漏洞进行攻击。
7、对重要数据做好备份;服务器有快照功能的,及时做快照和快照更新。
8、不轻易点击陌生邮件。在恶意邮件中往往包括恶意的附件,如果必须查看,应该先进行病毒查杀。
9、目前网络上的杀毒和解密工具仅仅针对已知的病毒,所以必须提高自身的安全意识,事前防御更为重要!必要时可报警寻求警察的帮助!
三、判断中毒的情形
4、腾讯哈勃勒索软件专杀工具:https://habo.qq.com/tool/index
五、勒索病毒人工处理服务
1.安全事件的主体,如:单位名称、地址、接口人姓名、电话。
2.安全事件发生的时间、被攻击的物理位置、相关IP。
3.能够对安全事件进行一个简单的现象描述。
4.提供安全事件所涉及到的应用系统及其他IT资产,并可简单预估损失范围。
5.如有现象的截图、照片或事件日志、安全设备日志信息也一起提供。
6.恶意程序样本请打包,压缩包加密码提交。
本文始发于微信公众号(山石网科安全技术研究院):勒索病毒防御方法+线上应急工具箱大全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论