8月29号勒索病毒突然大面积爆发,此次攻击集中针对国内企业管理软件windows服务器,目前已波及数千家用户。
以下是部分网友反馈:
1.1 勒索病毒名称:_locked勒索病毒
图1. 被加密的数据库文件
1.2 该勒索攻击事件现状
从8月28日开始,国内某高级威胁研究分析中心接到大量反馈,用户计算机文件被.locked后缀的勒索病毒加密,截止当前,已经确认来自该勒索病毒的攻击案例已超2000余例,且该数量仍在不断上涨。
图2. 被加密的数据库文件
1.3 疑似国内“勒索者”
邮件沟通过程中,勒索者全程使用中文,且语句自然。
图3. 受害者与勒索组织沟通邮件
1.4 勒索赎金
每个被加密的服务器勒索0.2个比特币(大概28011.28人民币)。
图4. 勒索信READ ME
2、现如今勒索病毒为何如此猖獗?
2.1 勒索产业化
为了不断扩大利益,勒索组织开发了勒索软件即服务(RaaS)。采用“渠道化传播”,一次完整的勒索攻击流程可能涉及勒索病毒作者、勒索实施者、传播渠道商、代理4个角色,各个角色分工明确。
图5. 勒索产业链
1.勒索软件开发者:主要负责勒索攻击中软件、工具、生成器等相关能力的开发,是整个攻击中的上游制毒者。
2. 勒索攻击行为发起方:实现把勒索软件定向投放到受害场景的角色。实际的勒索发起者,向上联系勒索软件开发方定制勒索病毒,向下寻找传播渠道商合作,通过传播渠道商的传播渠道去发起攻击。
3. 勒索攻击中的渠道方:掌握了大量的僵尸网络资源,利用这些渠道可以大规模的传播勒索病毒。
4. 勒索攻击中的代理方:负责助攻勒索赎金缴纳的成功率;与勒索发起方同样是合作分成收益关系。此前我国公安部门就曾打击掉一批以数据恢复为名义所谓“数据恢复公司”。
2.2 缺乏专防专治产品
为什么客户内网尽管有防火墙、IPS和终端杀毒等防护措施,但仍然中招?
勒索病毒威胁具有它自身独特之处,一是零日攻击,基于传统安全技术需要发现攻击并提供相对应的检测签名才会有响应机制,但滞后的响应会造成重大损失;二是勒索病毒变异率高,每个家族的勒索病毒在不断地更新变异,使得基于病毒特征库方式无法查杀新型变异勒索病毒;三是勒索病攻击具有极强的目标性,已显著具备APT特征。所以传统基于防火墙、IPS、终端杀毒等防护方式无用武之地。
3、如何应对勒索病毒攻击
1. 及时给操作系统和应用打补丁,修复常见的高危漏洞;
2. 避免使用弱口令,避免使用统一的密码;
3. 关闭高危端口,如3389rdp远程连接,23telnet远程连接等;
4. 最最最重要的是!!!请尽快进行数据备份,并且定期进行异地多介质备份。可使用威努特主机防勒索工具,产品创新性地使用按需触发的备份机制,可快速完成对加密文件的备份和恢复。
4、威努特创新性勒索病毒防护理念
防勒索总共分三步,勒索病毒发现诱捕+关键业务保护、核心数据保护+数据备份兜底。其中数据备份技术是最重要的技术兜底,可实现对加密文件的恢复。
第一步:勒索行为发现+病毒诱捕
威努特认为防勒索的关键在于前期勒索病毒的发现和阻拦。不再依靠传统特征库的方式发现病毒,而是通过病毒的高危指令调用动作,触发行为监测机制,再结合创新性的动态病毒捕获技术,及时终止勒索进程对其进行阻断与隔离。
第二步:关键业务和核心数据保护
除了病毒查杀模块,关键业务和核心数据保护技术同样发挥重要作用。对关键业务和核心数据的删除和加密动作进行有效阻拦,保障终端的关键业务和核心数据不被勒索病毒终止和加密。
第三步:数据备份兜底
文件保险箱技术兜底,极端情况下病毒成功加密终端文件,主机防勒索软件基于按需触发的文件备份机制,快速完成对加密文件的恢复。基于应用数据动态备份策略,在疑似勒索病毒加密操作前完成数据自动备份,并对备份数据严密保护,勒索攻击发生后,可基于备份数据快速恢复被加密的数据。
图6. 文件保险箱保障业务数据快速恢复
5、结束语
威努特主机防勒索系统专为防范勒索病毒而打造,可用于政府、医疗、教育、金融、科技、零售等行业,以有效的技术手段、完善的网络安全保险,成为各行业客户解决勒索病毒顽疾的“特效药”。
Copyright © 2005-2021 网信安全世界版权所有