Ransomware在感染和中毒方面与其他病毒有很大不同。它使用计算机的某些功能来“锁定”系统或加密磁盘上的文件,从而极大地影响信息系统的可用性。然而,与其他破坏性病毒不同,勒索要求受害者支付赎金来恢复系统。
勒索病毒在传播和感染方面与普通计算机病毒没有什么不同。它主要从以下方向感染目标计算机系统。
敲诈病毒感染目标计算机系统的五个方向
1.系统漏洞
与早期利用视窗RPC/DCOM漏洞攻击全球大多数视窗系统的冲击波病毒相似,万纳克里勒索病毒利用永恒蓝(MS17-010)在全球迅速传播。
2.应用程序漏洞
该病毒借用公共利用程序攻击具有漏洞的应用系统,并在操作系统上运行自己的恶意代码,如Weblogic反序列化漏洞和Struts2表达式注入漏洞。另一种类型需要手动或自动工具来利用未公开的漏洞攻击应用系统和运行病毒程序。
3.密码和令牌管理不当、应用程序配置不当等。
例如,如果系统管理员帐户的密码强度太弱,攻击者可以使用自动化工具暴力猜测密码,然后通过开放的RDP服务(远程桌面服务)直接管理服务器,注入恶意程序。
4.社会工程
利用人们的弱点和习惯,结合各种工具漏洞和技术手段,诱使受害者泄露某些秘密或运行某些恶意程序。
无论是基于“锁定”还是加密,它使用的技术和机制都是为了安全目的而设计的。在不知道密钥/密码信息的情况下解密内容需要一定的技术和时间成本。除非攻击者愿意提供相应的敏感信息,否则被勒索病毒绑架的数据很难恢复,从而造成严重的数据丢失。如果没有备份文件,将导致整个系统完全瘫痪,甚至报废。
5.勒索病毒对企业数据安全的影响
随着信息技术的进步,企业在运营过程中越来越依赖于企业资源规划、客户关系管理、办公自动化等智能办公系统的核心数据。所谓“三点技术、七点管理、十二点数据”,充分说明了数据在信息系统中的核心地位和作用。然而,肆意敲诈病毒已成为企业数据安全的噩梦。
2017年,美国制药巨头默克凯嘉(Merck kgaa)遭遇严重的勒索病毒攻击,造成1.35亿美元以上的销售损失,其他损失超过1.75亿美元,直接损失总计3.1亿美元。世界上最大的航运公司马士基(Maersk)受到了非文字讹诈病毒的攻击,导致4000多台业务服务器和45000台业务终端遭到恶意加密和讹诈,迫使业务暂时中止,并造成超过3亿美元的直接损失。与此同时,全球最大的快递公司联邦快递(Fedex)也遭到类似勒索病毒的攻击,导致累计直接损失3亿美元。此外,美国的乌克兰航空公司、清洁集团、印第安纳州立医院等大量企业遭到勒索病毒的攻击,造成不同程度的经济和商业损失。纵观全国,随着去年万纳克里病毒的爆发,勒索病毒逐渐开始为人所知。然而,当面对严重的企业数据安全挑战时,人们仍然无动于衷,导致在遭到攻击后后悔莫及。国内许多企事业单位、上市公司和大中型民营企业遭受了严重的敲诈病毒攻击,相应的案件不断上升,损失不断增加。在应对大量勒索病毒攻击后,我们总结了以下最容易受到勒索病毒感染的安全风险:
业务便利,内部办公系统安全措施不到位直接对外开放;
操作维护方便,内部系统的控制服务和数据库管理端口对外开放;
操作系统管理、数据库管理、应用服务和业务系统中存在弱密码;
操作系统和应用程序很长时间没有更新、修补或配备防病毒软件。
办公网络和服务器位于同一网段,没有任何隔离措施。
敏感服务器没有任何安全保护系统;
没有数据备份措施或车载备份;
服务器上随机插入u盘等媒体;
没有全职网络管理员。
敲诈病毒的发展趋势
自1989年首次发现艾滋病特洛伊病毒(AIDS Trojan virus)以来,讹诈病毒逐渐演变成大量具有自我复制、主动电源抽取和内部网络传输等高级功能的病毒。尤其是2012年后,相应的变体数量逐年增加,逐渐形成了庞大的黑色产业链。通过大量的统计分析,安恒信息研究所的研究人员发现,大量样本利用了最近在视窗系统中爆发的严重安全漏洞,这些漏洞会自动感染和传播,并对服务器和工作终端造成严重危害。
根据近年来全球敲诈病毒对企业数据造成的损失估计,2019年敲诈病毒造成的全球损失将达到115亿美元,相当于一个中等发达国家的年国内生产总值。损失如此之大,以至于其他计算机病毒将被粉碎。企业信息化作为企业可持续发展的基本条件,将针对客户关系管理、企业资源规划、办公自动化等重要办公系统。如生产制造、研发创新、市场营销、财务人力、采购审计等。一旦被感染,损失将非常严重。
敲诈勒索病毒的预防措施及应急处理
首先要做的是提前保护和警告。当勒索病毒攻击时,已经太迟了。敲诈病毒安全可以从以下几个方面防止:
1.应用方面
备份数据时,至少应备份不同的计算机,以防止服务器完全瘫痪,并且在受到攻击后无法恢复。最好有多个备份,包括热点笔记、灾难准备等。
定期注意来自相关应用程序供应商的公告和漏洞警报,并在测试后及时更新,以防止攻击者通过Xday漏洞攻击服务器。
定期对应用进行渗透测试,以确保应用的安全性。如果是第三方软件,测试周期可以延长。管理应用程序中的密码并保存应用程序的审计信息。
2.操作系统
加强并检查操作系统。
及时更新关键操作系统补丁。
定期使用漏洞扫描工具来检测操作系统并发现潜在的已知或未知漏洞
保存相关审计数据
安装终端保护软件
可以部署特殊的安全设备,如防火墙、应用防火墙和入侵防御系统。如果条件允许,可以另外部署其他安全设备和审核设备,例如数据库审核设备和日志审核设备。
3.管理视角
组织安全意识和应急响应相关培训,提高个人安全意识。如果条件允许,应记录内部操作,以便于审计。
安全不是绝对的;最好的和最坏的总是有差距的。如果我们真的被勒索病毒绑架了,我们需要尽可能减少损失。
第一是将受影响的服务器从网络中离线,以防止病毒进一步传播,并控制影响和损失的范围。立即联系安全制造商和专业人员进行处理。
如果是在讹诈病毒攻击的早期阶段(未能加密系统中的所有数据),可以通过中断讹诈病毒程序来减少损失,更直接和简单的方法是切断电源。尽管这将不可避免地导致一些额外的数据丢失风险(缓存、内存中的数据),但它基本上可以防止讹诈病毒进一步加密系统文件并损坏整个系统。然后使用PE工具读取磁盘,备份所有数据并尝试恢复。另一种方法是使用一些安全工具暂时删除运行中的讹诈病毒,对数据进行紧急备份,并在后期分析和提取有价值的数据,但这可能会导致操作系统崩溃等其他情况。
如果讹诈病毒已经运行了一段时间并且已经完成加密和锁定,则需要保存备份以进一步分析和确认病毒的加密方法、是否存在有效的未加密数据、是否可以恢复等。
在尝试恢复被勒索病毒绑架的数据之前,还需要尽可能多地确认攻击者的攻击路径,以防止在线热备份服务器在短时间内再次受到攻击。