江雪分析：从勒索病毒里面感受到的一些想法

为什么要重视端口？

2017年，勒索病毒疯狂传播。据“火绒威胁情报系统”监测和和评估，从2018年初到9月中旬，勒索病毒总计对超过200万台终端发起过攻击， 攻击次数高达1700万余次，且整体呈上升趋势。

截止发稿前，Nemty病毒发生变异，该病毒通过邮件的形式来传播，只要你点击按钮，则会自动下载到本地 来运行。

而勒索家族里的其他成员则通过“端口”来传播，就是只要你下载了，如果是通过邮件或其他方式下载 运行本地的，则都将你一为中心向内网传播，造成更大的损害及数据丢失。图如下：

如果你是公司的内部网，那你就牛皮了，我敬你是条汉子！图如下：

以下的是常见的病毒传播手法，本次仅讨论端口+邮件的哈

原因

首先，故事的主人公是小陈，小陈在某一天呢，在公司内网一台计算机当中，打开了一则名为“xxx的邮件” 小陈非常好奇，于是单击了这一个按钮，经过了一系列的操作，终于弹出了一个消息框“Your data has been e ncrypted, please pay 100 bitcoins to our bitcoin address within 7 days, or your data file will be deleted forever.”

此时小陈沉思了许久，最终喊出了一句话：”WDNMMPD“

过程

思考

在实际上，不仅仅只有病毒会使用端口进行内网传播，就比如前前前天的那个CVE_2019_0708和很多前者一样，都是需要端口的，如果把端口关了，则不会发生类似事件，就不会让攻击者或不法分子得逞。

总结

关闭不常用或较高的端口，以免以后发生类似事件。

浏览未知右键时，建议小心链接按钮或使用burp进行抓包分析该网址链接是否有害，可在虚拟机进行尝试。

不下载，不使用未知软件，以免中毒

题外话

目前，我们团队有一个关于端口防护程序的想法，就是如果有程序使用端口时，防护程序识别出此程序使用的端口，如果端口较高，可自动ban掉这个程序（当然可自己选择），如果想不对该程序进行拦截，可自行设置白名单和黑名单。

这个想法呢，可能我们会很长时间来实现，如果你对这个想法感兴趣，欢迎私聊我鸭~（点击阅读全文联系作者）

本文始发于微信公众号（渗透云笔记）：江雪分析：从勒索病毒里面感受到的一些想法