企业防勒索病毒安全解决方案
企业防勒索病毒安全解决方案
一、方案应用背景
勒索病毒是指:黑客通过锁屏、加密文件等方式劫持用户文件数据,并敲诈用户钱财的恶意软件,利用恶意代码干扰中毒者的正常使用,只有交钱才能恢复正常。自2017年5月WannaCry勒索病毒爆发以来,在短时间内大范围传播,给企业、高校、医院机构、公共基础设施造成了严重后果。硅谷网络风险建模公司Cyence的首席技术长George Ng称,仅“永恒之蓝”网络攻击造成的全球电脑死机直接成本总计约80亿美元。中国是勒索病毒攻击受害最为严重的国家之一,WannaCry勒索病毒爆发时仅一天时间,国内有近3W机构被攻击,覆盖至全国各地,其中教育、医疗、大型企业是国内被攻击最为严重的三大行业。
时隔一年后的2018年,勒索病毒威胁犹存。据相关机构统计,Globelmposter、Crysis、GandCrab、Satan是2018年上半年最为活跃的四大勒索病毒家族,传播量占到上半年勒索病毒传播总量的90%以上。今年七月,针对Windows 服务器的勒索病毒“撒旦”开始对大批企业服务器发起攻击,病毒会将计算机中的数据库文件进行加密,同时还具备二次传播能力,有可能入侵局域网内的其他机器。专家预测,由于利润丰厚、追踪困难等原因,未来各种勒索软件的攻击将会更为频繁,杀伤力也更大。
二、方案应对方法
针对持续爆发的勒索病毒,应当通过构建起从事前到事后全周期、全方位的安全防护体系,帮助各企事业单位及国家关键信息基础设施部门抵御勒索病毒的侵害。
在事前,从传播、加密、扩散三条路径对勒索病毒进行监测,并从网络异常、入侵、多引擎病毒、威胁变种基因等多方面进行分析检测,对未知威胁,采用沙箱检测方式,检测涵盖已知未知高级威胁,检测结果以预警方式发布,建立未知威胁预警体系。
勒索病毒有以下传播方式:
1、通过邮件附件进行传播;
2、通过钓鱼邮件进行群发下载URL传播;
3、企业用户在恶意站点下载病毒文件进行传播;
4、通过浏览器漏洞(网页挂马)进行传播;
就爆发的WannaCrypt勒索病毒来看,勒索病毒使用是通过随机生成的AES密钥、使用AES-128-CBC方法对文件进行加密,然后将对应的AES密钥通过RSA-2048加密,再将RSA加密后的密钥和AES加密过的文件写入到最终的.WNCRY 文件里。简而言之,就是用一个非常非常复杂的钥匙,把企业用户文件锁上了。能解开的钥匙掌握在黑客手里,而以现在的企业用户现有的计算能力,也基本没有办法强行破解。
行而有效的手段是在勒索事件的事前、事中、事后三个主要节点进行安全防护,针对勒索病毒生效的每个环节进行监控、阻止、查杀。
1.在社会工程学攻击或者黑客投递病毒前,通过部署在互
联网出口和园区网出口的高性能防火墙、入侵检测产品
进行检测。主要有两个生效功能:漏洞利用检测防护、样本投递检测防护;
2.在勒索病毒从跳板主机向内网主机感染中,利用网络交
换机中的防病毒插卡进行防护检测,防止横向扩散,并采取策略全局联动进行整体防护;
3.通过网络系统和操作系统的漏洞扫描设备针对系统和架
构的脆弱性进行定期扫描,提前发现并做好预警;
4.建立统一的网络安全平台和调度系统指挥中心安全态势
感知,感知全局感染趋势、策略联动下发、并利用威胁情报有效定位攻击事件,全方位打造自适应的安全防护能力。
为了避免类似病毒的再次入侵,企业用户通过积极地做好以下防范措施,也可以达到防护效果:
1.微软已经对部分操作系统停止安全更新,请尽快升级
操作系统到最新版本。
2.对重要文件进行定期非本地备份。
3.始终保持Windows防火墙的开启状态。
4.及时安装操作系统的最新安全更新。
5.在网络边界、防火墙设备上配置阻止访问135/137/13
9/445端口的安全策略
6.关注新华三发布的网络安全提示以及IPS特征库升级
提示
三、方案效果收益
通过专业的勒索病毒防护方案,可以有效的为企业客户打造一下能力,有效的防止勒索病毒的感染,降低企业重要数据被加密勒索的风险:
第一,强化了现有网络的基础架构,通过对内部网络进行更加精细的分段和隔离,构建内网的塔防体系。同时,通过提升对安全策略执行效果的感知能力,及时发现访问控制的疏漏,避免安全设备成为“摆设”,维持网络的结构坚固;
第二,构建统一管理平台和安全态势感知系统,加强安全设备维护管理,依靠自动化、半自动化的手段提升应急处置的效率与准确性,企业用户可以降低运维管理、应急响应的操作难度。
第三,重视持续监控,通过数据分析构建用户对于风险、威胁的发现和感知能力,针对勒索病毒感染的每个过程层层防护,主动出击,把企业“被动响应”的安全防护能力向“积极防御、自适应防御”持续迈进。
勒索病毒简介及处理
Cryptowall、locky、cerber等勒索病毒 的运行原理及预防杀毒普及贴 勒索病毒概述: 勒索病毒从2014年开始兴起,2015年开始逐步流行,到2016年已经开始波及全球了。黑客勒索的金额估计已经超过4亿。对企业公司造成了巨大损失。美国FBI悬赏300万缉拿比特币敲诈者”木马家族的作者名叫艾维盖尼耶米哈伊洛维奇波格契夫。 从2015年开始,国内陆续发现勒索病毒,到2015年底开始达到高峰,日中病毒数超千台。有很多企业局域网内电脑集体中毒,造成巨大损失。 由于被加密文件都是用的比较高级的加密算法,所以受害者除了付款买回,没有别的办法解密文件。 勒索病毒传播 黑客通过邮件、漏洞或者挂马网站,传播病毒。一但用户点击中毒,病毒便加密客户的文档,然后上传私钥,留下勒索信息,限期付款赎回,否则中毒者的文档将永远无法找回。
勒索病毒图解 1、关于病毒传播方式: 由于现在技术的发展,黑客也开始讲求分工合作。制作病毒跟传播病毒都开始由专门的人士负责,CERBER就是典型,根据最新的病毒样本分析,CERBER附带的一个.json格式的配置文件。通过研究这个文件,我们发现这种特别的勒索软件是可以定制的,黑客自己可以改变赎金的数额大小,定制特定的文件扩展列表,当然还有需要感染国家的黑名单。这表明CERBER本身就是为了卖给二手黑客贩子而设计,量身定制勒索需求服务的。 现在的病毒传播一般黑客都是外包给专门的病毒传播机构,一般通过邮件钓鱼、网站挂马和电脑漏洞传播。 2、关于加密算法: 现在的勒索病毒加密方式一般用的RSA算法和AES算法。 AES算法(英语:Advanced Encryption Standard简写),在密码学中又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用。经过五年的甄选流程,高级加密标准由美国国家标准与技术研究院(NIST)于2001年11月26日发布于FIPS PUB197,并在2002年5月26日成为有效的标准。2006年,高级加密标准已然成为对称密钥加密中最流行的算法之一。 RSA算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。RSA 是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。 理论上,这2种算法只要超过15位数就基本无法破解,而黑客一般用的是128位,用现在的电脑技术破解的话需要几十万年。这也是黑客之所以嚣张的底气。
最新勒索软件WannaCrypt病毒感染前后应对措施
最新勒索软件WannaCrypt病毒感染前后应对措施 针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt勒索软件,我们该怎么办? 作者:simeon来源:https://www.360docs.net/doc/1719102585.html,|2017-05-14 23:03 收藏 分享 技术沙龙| 6月30日与多位专家探讨技术高速发展下如何应对运维新挑战! 【https://www.360docs.net/doc/1719102585.html,原创稿件】针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt勒索软件,我们该怎么办?是主动积极应对,还是被动等待被病毒感染,这完全取决于您个人选择,笔者战斗在病毒对抗的第一线,将一些经验跟大家分享,希望能对您有所帮助!本文收集了windowsxp-windows2012所有的补丁程序以及360等安全公司的安全工具程序供大家下载,下载地址:https://www.360docs.net/doc/1719102585.html,/s/1boBiHNx 一.病毒危害 1.1病毒感染的条件 到互联网上乃至技术专家都认为WannaCrypt攻击源头来自于MS17-010漏洞,在现实中很多被感染网络是内网,mssecsvc.exe病毒文件大小只有3M多,其后续加密生成有多个文件,这些文件是从哪里来,内网是跟外网隔离的!笔者整理认为病毒感染是有条件的: 1.Windows7以上操作系统感染几率较高 2.在感染的网络上,如果系统开放了445端口,将被快速感染计算机。 3.内网补丁更新不及时 1.2病毒感染的后果 WannaCrypt勒索病毒被定义为蠕虫病毒,其传播速度非常快,一旦被感染,只有两种途径来解决,一种是支付赎金,另外一种就是重装系统,所有资料全部归零。通过笔者分析,如果是在病毒WannaCrypt发作前,能够成功清除病毒,将可以救回系统,减少损失!360也提供了一款勒索蠕虫病毒文件恢复工具RansomRecovery ,其下载地址:https://www.360docs.net/doc/1719102585.html,/recovery/RansomRecovery.exe主要针对勒索病毒成功感染后的恢复,越早恢复,文件被恢复的几率越高 二、WannaCrypt勒索病毒原理分析 WannaCrypt勒索病毒原理分析笔者再次就不赘述了,详细情况请参阅WanaCrypt0r勒索蠕虫完全分析报告(https://www.360docs.net/doc/1719102585.html,/learning/detail/3853.html)。 笔者要想说的是病毒感染的三个时间段: 1.病毒感染初阶段,病毒从未知渠道进入网络,病毒开始攻击内网某台主机,对计算机存在漏洞计算机进行攻击,成功后释放mssecsvc.exe文件,并连接固定url(54.153.0.145): https://www.360docs.net/doc/1719102585.html,; a)如果连接成功,则退出程序 b)连接失败则继续攻击 2.病毒感染中阶段 接下来蠕虫开始判断参数个数,小于2时,进入安装流程;大于等于2时,进入服务流程 3.病毒感染后阶段,对磁盘文件进行加密处理,出现勒索软件界面。
勒索病毒防范方法
勒索病毒防范方法 一、系统补丁更新 从官方下载适配自己电脑操作系统的MS17-010补丁~本压缩包中也会包含。在安装补丁过程中出现“此更新无法适配本系统”问题时~因为电脑操作系统未更新到SP3~请下载sp3补丁将操作系统更新到SP3~然后再更新MS17-010补丁。 二、端口关闭 1、关闭 445、135、137、138、139 端口~关闭网络共享也可以避免中招。方法如下: ,1,运行输入“dcomcnfg” ,2,在“计算机”选项右边~右键单击“我的电脑”~选择“属性”。 ,3,在出现的“我的电脑属性”对话框“默认属性”选项卡中~去掉“在此计算机上启用分布式COM”前的勾。 ,4,选择“默认协议”选项卡~选中“面向连接的TCP/IP”~单击“删除”按钮 2、关闭 135、137、138 端口 在网络邻居上点右键选属性~在新建好的连接上点右键选属性再选择网络选项卡~去掉 Microsoft 网络的文件和打印机共享~和 Microsoft 网络客户端的复选框。这样就关闭了共享端 135 和 137 还有 138端口 3、关闭 139 端口 139 端口是 NetBIOS Session 端口~用来文件和打印共享。关闭 139 的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性~进入“高级 TCP/IP 设置”“WINS设置”里面有一项“禁用 TCP/IP的NETBIOS ”~打勾就可关闭 139 端口。
4、关闭 445 端口 ,1,注册表关闭。开始-运行输入 regedit. 确定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\ NetBT\Parameters~新建名为“SMBDeviceEnabled”的DWORD值~并将其设置为 0~则可关闭 445 端口。 ,2,关闭Server服务。检查系统是否开启Server服务: 按“WIN+R”键~打开运行窗口, 输入”services.msc”~回车, 查找service~查看service服务状态~如果开启~请右击属性选择关闭。 ,3,手动关闭445端口。打开开始按钮~点击运行~输入cmd~点击确定,输入命令:netstat -an 回车,查看结果中是否还有445端口,依次输入下面命令:net stop rdr 回车,net stop srv 回车,net stop netbt 回车,再次输入 netstat -ano~成功关闭 445 端口。如果还不有445显示~需要重启电脑就好了。 ,4,配置主机级 ACL 策略封堵 445 端口。通过组策略 IP 安全策略限制Windows 网络共享协议相关端口 开始菜单->运行,输入 gpedit.msc 回车。打开组策略编辑器 在组策略编辑器中,计算机配置->windows 设置->安全设置->ip 安全策略下,在编辑器右边空白处鼠标右键单击,选择“创建IP 安全策略”
企业防勒索病毒安全解决方案
企业防勒索病毒安全解决方案 一、方案应用背景 勒索病毒是指:黑客通过锁屏、加密文件等方式劫持用户文件数据,并敲诈用户钱财的恶意软件,利用恶意代码干扰中毒者的正常使用,只有交钱才能恢复正常。自2017年5月WannaCry勒索病毒爆发以来,在短时间内大范围传播,给企业、高校、医院机构、公共基础设施造成了严重后果。硅谷网络风险建模公司Cyence的首席技术长George Ng称,仅“永恒之蓝”网络攻击造成的全球电脑死机直接成本总计约80亿美元。中国是勒索病毒攻击受害最为严重的国家之一,WannaCry勒索病毒爆发时仅一天时间,国内有近3W机构被攻击,覆盖至全国各地,其中教育、医疗、大型企业是国内被攻击最为严重的三大行业。 时隔一年后的2018年,勒索病毒威胁犹存。据相关机构统计,Globelmposter、Crysis、GandCrab、Satan是2018年上半年最为活跃的四大勒索病毒家族,传播量占到上半年勒索病毒传播总量的90%以上。今年七月,针对Windows 服务器的勒索病毒“撒旦”开始对大批企业服务器发起攻击,病毒会将计算机中的数据库文件进行加密,同时还具备二次传播能力,有可能入侵局域网内的其他机器。专家预测,由于利润丰厚、追踪困难等原因,未来各种勒索软件的攻击将会更为频繁,杀伤力也更大。
二、方案应对方法 针对持续爆发的勒索病毒,应当通过构建起从事前到事后全周期、全方位的安全防护体系,帮助各企事业单位及国家关键信息基础设施部门抵御勒索病毒的侵害。 在事前,从传播、加密、扩散三条路径对勒索病毒进行监测,并从网络异常、入侵、多引擎病毒、威胁变种基因等多方面进行分析检测,对未知威胁,采用沙箱检测方式,检测涵盖已知未知高级威胁,检测结果以预警方式发布,建立未知威胁预警体系。 勒索病毒有以下传播方式: 1、通过邮件附件进行传播; 2、通过钓鱼邮件进行群发下载URL传播; 3、企业用户在恶意站点下载病毒文件进行传播;
勒索病毒操作流程.doc
关于应对勒索病毒相关事宜的紧急通知 各研究所、中心、室、厂、站、队、机关及各直属部门: 5月12日晚开始,在国内外网络中陆续出现针对windows 操作系统的勒索病毒,该病毒基于网络途径传播,对计算机文件进行加密破坏,部分服务器和个人计算机收到攻击,部分系统目前不能正常使用。根据** 公司和局信息管理部要求,关闭办公网络及相关服务器,对于各办公室机器,具体安排如下:一、对于未中毒的设备 1、断网。 2、关闭445 端口。(具体操作见附件) 3、按照windows 版本运行相应的补丁。 4、安装NAS免疫工具。 5、使用查杀工具杀毒。 二、对于中毒的设备 1、断网、登记。 2、原则上全盘格式化,重新安装操作系统。 3、关闭445 端口。(具体操作见附件) 4、按照windows 版本运行相应的补丁。(以分发至各所) 5、安装NAS免疫工具。 注:补丁、免疫工具及查杀工具已分发至各所
技术支持电话:7805870
注意:实施之前请拔掉网线。进行如下两步操作:1、关闭445端口,2、打补丁 关闭445端口流程 一、单击开始”一一运行”,输入“regedit ”,单击确定”按钮,打开注册表。 、找到注册表项 HKEY_LOCAL_MACHINE \System\Curre ntCo ntrolSet\Services\NetBT\Parame o ters
paiqeu3eo!Aaag|/\IS… adOMQ # '同 侑》莹邂帥(7)>S C3)g$? 宿)扫苴 ■ (5)18 SMS? ■ ? ㈢則宙捷去翌 (3)串右 讯)曰塞母古金 0)a}QyOMa ⑻g :題 ⑺劇H (5?s&± …0烘蔓 h 的冋 [ 1 9^ ° a IKldOMQ … —— “iOg 仲寅韜孚顶 a sjejaiiiejed… t? '三 501 fl w rn '* Axojdorj rn * “柄补n 由 测裁o + icfeism rj !+ SICBM O 卡 【IP “声w n > 【姮】归;中阻? L + 5w rj 匡 5Ct|qW55LU 厂 + WbdSW 1+ SDcro 却 n :+ S sacejjaim | TTS — mt 电:押i —- umug W\ - 193?N LI
新型勒索病毒的整体安全检测防护解决方案V2.0
新型勒索病毒的整体安全检测防护解决方案 一.事件概况 ●行业内网爆发勒索病毒变种 今年2月份起,医院、政府等行业爆发大规模信息勒索病毒感染事件,包括GandCrab V5.2、Globelmposter V3.0等,受影响的系统和数据库文件被加密勒索。黑客主要是通过钓鱼邮件、漏洞利用、恶意程序捆绑等方式进入内部网络,之后通过SMB漏洞攻击、RDP(windows系统远程桌面协议)口令爆破等形式大规模感染整个网络,导致终端、业务系统、数据库等被加密勒索,全国大部分省份相关单位都受到影响。 ●新型变种Globelmposter V3.0 Globelmposter勒索病毒的安全威胁热度一直居高不下。本次爆发的Globelmposter V3.0勒索病毒变种攻击手法非常丰富,可以通过社会工程、RDP爆破、恶意软件捆绑等方式进行传播其加密文件为*4444扩展名,采用RSA2048算法加密文件,目前该病毒样本加密的文件暂无解密工具,在被加密的目录下生成HOW_TO_BACK_FILES的txt文件,显示受害者的个人ID 序列号及黑客的联系方式等。 ●新型变种GandCrab V5.2 GandCrab 勒索病毒变种可绕过杀毒软件的检测,通过永恒之蓝MS17-010漏洞、共享文件服务、远程桌面服务(RDP)弱口令等方式在内网进行传播,随机生成后缀名对系统重要数据和文件进行加密,目前暂无加密工具 二.由勒索病毒反思网络安全建设 勒索病毒并非APT攻击,仅仅是病毒攻击行为,并不是不可防御的。并且,微软在17年就已经发布了SMB 相关漏洞的补丁,用户有足够的时间做好预防工作,为什么还有大量用户受影响?并且其中还包括一些行业的与互联网隔离的专网,除了在口令安全、高风险端口禁止对外开放等方面的安全意识需要提升之外,主要的原因还有以下几点: 1)大量用户缺乏全过程保护的安全体系 这起事件并非APT攻击或0DAY攻击,大部分用户的安全建设仅仅是在事中堆叠防御设备,缺乏事前风险预知的能力,使其没有提前部署好安全防护手段;在威胁爆发后,又没有持续检测和响应的能力,使得这些客户在事件爆发前没有预防手段、爆发中没有防御措施、爆发后没有及时检测和解决问题的办法。 2)忽视了内部局域网、专网和数据中心的安全防护 经过这段时间的响应,我们发现很多客户的威胁是与互联网相对隔离的内部网络中泛滥。比如专网、内网、数据中心,这些区域过去被用户认为是相对安全的区域,很多客户在这些区域仅仅部署了传统防火墙进行防护。但勒索病毒感染内部网络的途径很多,比如U盘等存储介质、比如社会工程学,再或者是与DMZ间接相连的网络都可能成为来源。 3)过于复杂的安全体系,没有发挥应有作用
勒索病毒的防范与处理
勒索病毒解决方案 一、勒索病毒简介 最近,一种电脑勒索病毒席卷了全球几十个国家。美国、俄罗斯、中国,欧洲国家的Windows电脑受创最重。 和之前一些大面积爆发的病毒比如熊猫烧香等等不同,黑客开发这种病毒并不是为了炫技(单纯地攻击电脑的软硬件)而是为了索财。当电脑受到病毒入侵之后,电脑当中的文件会被加密,导致无法打开。 黑客会要求你提供300美元(2000元人民币)的比特币,才会给你提供解锁的密码。 支付的赎金一定要是比特币的原因是,这种电子货币的账户不易被追踪,更容易隐藏黑客的真实身份。 病毒的设计者特意把勒索的说明信息翻译成了20多个国家和地区的语言版本,好让全世界每一个中了病毒的人都能看懂付款信息,可见野心之大。 而且如果中了病毒的计算机属于高性能的服务器,病毒还会在这台电脑当中植入“挖矿” 程序,让这台计算机成为生产比特币的工具,攻击者可谓无所不用其极,最大程度地榨取受害电脑的经济价值。 电脑中了这种病毒之后,硬盘当中的文件会被AES+RSA4096位的算法加密。 遇到这种加密级别,目前所有家用电脑如果要暴力破解可能需要几十万年。所以一旦被这种病毒感染,加密了自己电脑上的文件,自己是无论如何没办法把文件解密的。如果是政府或者公共机构的重要文件被加密,那只能恢复备份文件。 值得注意的是,这次的病毒袭击还针对了特定的人群,类似“精准投放”。大企业的公共邮箱、高级餐厅的官网等等都是攻击的重点对象。起初病毒会伪装成一封标题非常吸引人的电子邮件,或者伪装成PDF、DOC这样的普通文档,如果存在漏洞的电脑打开了这些链接或者文件,就有可能中招。 如果中招的电脑处于一个局域网当中,那么只要一台电脑感染病毒,其他电脑只要开机上网,马上也会被感染。 病毒会通过像445端口这样的文件共享和网络打印机共享端口的漏洞展开攻击。 二、服务器紧急防范措施 1.立即组织内网检测,查找所有开放445 SMB服务端口的终端和服务器, 一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。目前微软 已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑装此 补丁,网址为 https://https://www.360docs.net/doc/1719102585.html,/zh-cn/library/security/MS17-010;对于 XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或使用 360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端 口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址 https://www.360docs.net/doc/1719102585.html,/nsa/nsatool.exe。 2.一旦发现电脑中毒,立即断网。 3.启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁
医院大数据安全分析与勒索病毒防护方案
医院大数据安全分析与勒索病毒防护方案
目录 Contents 01医院信息安全现状 02大数据安全分析 03勒索病毒防护 04用户案例
01医院信息安全现状
内蒙古 新疆 甘肃四川 辽宁 陕西河南湖南 山西北京河北山东 江苏 浙江 上海广东 湖北重庆江西 福建 吉林黑龙江 西藏 安徽 金融, 4% 教育, 7% 制造业, 7% 政府机构, 7% 医疗, 25% 对外贸易, 11% 工业企业, 17% 互联网, 16% 其他, 6% 地域分布 行业分布 2019以来全国勒索攻击态势 云南 贵州 广西 青海
由于部分医院信息系统存在安全风险,勒索病毒受利益驱使,依然是危害医院的主要安全风险之一。自去年7月以来,勒索病毒一直处于持续活跃的状态,其中8月份相对于7月勒索病毒传播有所加强。另外在全国三甲医院中,有247家医院检出了勒索病毒,以广东、湖北、江苏等地区检出勒索病毒最多。 ... ... 其中,被勒索病毒攻击的操作系统主要以Windows 7为主,Windows 10次之,以及停止更新的Windows XP。对此报告指出,当前没有及时更新操作系统的医疗机构仍占有一定的比例,这极有可能会为医疗业务带来极大的安全隐患。
以十二生肖作为后缀,“狗”生肖尚未出现 GlobeImposter 勒索病毒家族:2017年出现,2018年8月 份演进为V3.0版本。整体特点如下: 加密方法:采用RSA 和AES 两种加密算法的结合。----无法破解!主要的传播方式:扫描渗透+远程桌面登录爆破。----粗暴实用!解密办法:暂无公开的破解方法。V3.0版本特点如下: 1、将加密文件的后缀改成动物名称+4444的样子。 2、当加密完成后,除了清除远程桌面登录信息,还添加了自删除的功能,让追溯分析难度更高。 为什么勒索病毒总是攻击医院? 成本低、来钱快!
防勒索解决方案
美创科技 防勒索解决方案 年初勒索病毒爆发事件,再一次拉起了“防勒索”的警报,美创顺势推出了“诺亚”防勒索系统,向勒索病毒坚决“宣战”! 在以往的黑客攻击案例中,攻击目标主要集中于加密文档、图片等个人数据,但“贪得无厌”的黑客,逐渐将攻击目标转移到了企业,除了常见的企业终端(ATM机、自助加油机等)、业务文档等攻击目标,针对数据库的勒索病毒也开始“大行其道”,成为近来勒索病毒目标的延伸。 美创科技通过对勒索病毒的分析,结合多年数据安全经验积累,推出了防勒索整体解决方案,从文档防勒索、哑终端防勒索、数据中心防勒索、底线防御等多角度构筑安全防线。 l文档防勒索 采用白名单机制,将文档限定为只能由某个应用或者特定的应用修改。在识别应用的特征上,美创“诺亚”防勒索系统采用了多种方式来限定合规程序,包括程序名、程序签名以及安全标签(哈希值)等等,从而防止仿冒程序鱼目混珠。 同样,对于数据库文件,通过“诺亚”防勒索系统,客户可以指定或限定访问数据库文件的数据库程序,并进一步防止其他的数据库程序对数据库文件进行修改。例如,勒索病毒可能会修改数据库文件的后缀名,再利用加密机制进行加密,此时“诺亚”防勒索系统会记录相应行为并进行实时对比,判断进程的真实性,并根据策略进行阻断或放行。
l哑终端防勒索 自助服务终端目前已经成为勒索病毒攻击的主要目标,绝大多数运行微软Windows系统的自助服务终端很少进行更新重启关机等操作。由于微软不再发布支持该系统的补丁更新,因此大量设备都处于缺乏终端防护措施的情况下,一旦被勒索病毒入侵,很容易危及全网,影响巨大。“诺亚”防勒索系统针对自助服务终端独创了堡垒安全模式,在这种模式下,非白名单中的程序都无法运行,会被立刻阻断。 l数据中心防勒索 针对数据中心,美创提供由内而外层层整体防御解决方案,即从文档类型的防御、特定终端的防御、到业务系统层面的整体防御策略。 前面已经从“防勒索”角度,梳理了办公文件、数据库文件、哑终端的防勒索措施。 这里重点提数据库本身,美创数据库防水坝从“内控”入手。数据库防水坝将数据进行分级分类,定义不同的资产集合,同时对管理人员进行三权分立,落实最小权限原则。在企业内部DBA和第三方维护人员在接入数据库时,数据库防水坝系统针对接入数据库的身份进行验证(除账号密码之外,还能够控制时间、终端、IP、数字证书等多因子条件),并对其数据库操作行为进行管控。通过防水坝设定的安全策略,能够设定细致的数据操作权限,对企业数据进行分级分类管理,定义不同的资产集合,实现精细化的访问控制策略。同时,对业务系统层面的访问执行白名单机制管理,重要的数据库表格只允许业务系统进行访问。 l底线防御
2017年勒索病毒网络安全分析报告
2017年勒索病毒网络安全分析报告 2017年5月
目录 一、勒索蠕虫软件袭击网络 (6) 1、国内2.8万家机构被攻陷苏浙粤较严重 (6) 2、黑客利用windows漏洞 (7) 3、中毒后只有“认输”别无它法 (7) 4、与传统黑客不同以比特币为赎 (8) 5、打安全补丁预防勒索软件攻击 (9) 6、国内网络安全厂商提出方案 (9) 二、初始病毒已被阻止WannaCry 2.0已出现 (11) 1、初始病毒“自杀开关”被发现 (11) 2、WannaCry 2.0传播速度更快 (12) 三、网络安全事件频发 (12) 1、维基解密:CIA可入侵用户各种电子设备甚至汽车 (12) 2、涉及美国军方、企业等上千万条员工信息的数据库泄露 (13) 3、美国空军数千份高度机密文件被泄,备份服务器竟无秘钥 (13) 4、上百万已被破解的谷歌Gmail 和雅虎账户在暗网低价出售 (14) 5、黑客在暗网出售中国10亿账户数据:主要来自腾讯、网易、新浪等 (14) 四、网络安全行业增长驱动因素 (15) 1、政策驱动网络安全下游需求 (15) 2、2017年党政机关需求带动 (16) 3、安全事故超预期实际需求超预期 (16) 4、技术更新驱动需求和创投并购 (17) (1)2017前2月已有5家AI网络安全企业被收购 (17) (2)防止未知威胁的Invincea被Sophos收购 (17) (3)UEBA技术的被惠普收购 (18) (4)关键IP用户行为分析的Harvest.ai日被亚马逊收购 (19) (5)值得关注的人工智能与网络安全公司 (20)
五、重新认识网络安全 (21) 1、事件驱动网络安全下一轮繁荣 (21) 2、内外网分开不再安全 (22)
关于应对勒索病毒爆发的紧急通知
关于应对勒索病毒爆发的紧急通知 5月12号,全球爆发最大规模的勒索病毒网络攻击,攻击者锁定受害者电脑文档,致使受害者必须向攻击者支付费用方可解锁。 为避免病毒感染扩大,保障您的文件安全,信息中心建议用户立即按以下5点安全措施进行操作: 1.请立即拔掉网线,尽快完成第2步操作后,再接上网线进行后续操作;同时,告知您周围未开机的同事,拔掉网线,再按下面步骤操作。 2.开启系统防火墙,控制面板-Windows防火墙-点击“启用Windows防火墙”并勾选下面两个复选框,参见下图设置。 3.更新windows系统补丁 查看windows系统版本,可右键点击“我的电脑”-“属性”查看系统版本,点击对应补丁下载地址,下载后双击运行,按照提示完成安装后务必重启电脑; Winxp sp3 x86补丁下载地址:
https://https://www.360docs.net/doc/1719102585.html,/download/4/1/B/41B4AFF6-C3BC -48E6-9A99-4C483BD098D5/WindowsXP-KB4012598-x86-Embedded-Cu stom-CHS.exe Windows 7 sp1 x64 补丁下载地址: https://www.360docs.net/doc/1719102585.html,/d/msdownload/update/softw are/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4 bac44219e7169812914df3f.msu Win8 x64补丁下载地址: https://www.360docs.net/doc/1719102585.html,/c/msdownload/update/softw are/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844 ed793e0f2be974148520349.msu Win10 x64补丁下载地址: https://www.360docs.net/doc/1719102585.html,/c/msdownload/update/softw are/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb51 2b7a3a51dd0d30592ab02f08.msu 微软补丁信息,可参考: https://https://www.360docs.net/doc/1719102585.html,/zh-cn/library/security/ms17-0 10.aspx 4.请注意定期备份重要数据到移动硬盘。 5.若发现电脑感染了勒索病毒,请立即拔掉网线,并报告当地信息工程部。
中了勒索病毒怎么办
从2017年问世至此,勒索病毒一直都在我们身边,对于很多电脑小白来说,中了勒索病毒就基本玩完。不要慌,小编今天就教授大家中了勒索病毒应该怎么办。 1、梳理资产,确认灾情 制定一个表格,确认好哪些资产是被勒索病毒感染,哪些目前还比较安全,哪些是服务器,哪些是PC机等等。一共有多少台主机中招,多少台是服务器,多少台是终端。所中勒索病毒,是否为同一种? 2、保留现场,断开网络 根据灾情状况,第一时间将所有中招主机进行网络隔离,建议采取物理隔离
方式如拔网线,这样可以防止进一步扩散,造成二次伤害。 中招主机隔离后,建议保留现场,不要破坏环境或者格式化系统,除非不需要做溯源取证和入侵原因分析,不然会给后续做防御加固、解密恢复带来困难。 3、确认诉求,聚焦重点 确认诉求,是勒索病毒应急响应的核心。 首先,受害者企业必须知道自己的核心诉求是什么,其次应急响应人员必须根据核心诉求,按照紧急程度依次开展工作。 4、样本提取,数据收集 提取系统日志:将C:\Windows\System32\winevt\Logs目录拷贝一份到桌面,然后在桌面上将其压缩为以中招主机命名的压缩包。提取加密文件:选取若干文件较小的被加密文件,留作后面解密尝试,以及用于判断勒索病毒家族。 4.1 判断病毒文件是否还在加密
使用everything文件检索工具,搜索被加密文件,比如文件加密后缀为“Ares666”,那么就搜索“*.Ares666”,按修改时间排序,观察是否有新的被加密文件。 4.2 判断病毒文件是否在本机 观察是否只有部分文件夹被加密,由于勒索病毒一般都是全盘加密的,除了排除几个系统文件夹比如“Windows”等以保证系统正常运行外,对于其他文件夹都是无差别加密,看是否都为共享就可确认。 4.3 收集系统日志文件 Windows系统日志目录为“C:\Windows\System32\winevt\Logs”,整个打包出来就行了,原始文件可能会比较大,压缩后会小很多。 4.4 采集家族信息 被加密的文件不是样本,只需要把完整的加密后缀、勒索文本/弹窗一起保存或截图反馈即可,请注意截图一定要完整和清晰。 4.5 查找病毒文件 勒索病毒文件通常都比较新,可以使用everything搜索“*.exe”,按修改时间(或创建时间)排序。 通过目录和文件名猜测可能的病毒文件,总之,就是看起来“不太正常”的exe文件。 5、判断家族,尝试解密 目前来说,国外这两个网站有相关服务。
WannaCry勒索病毒针对服务器及其内部网络防范和修复操作指引--致网络管理员
服务器及其内部网络操作指引 致网络管理员 一.序言 本操作指引分为三个步骤展开: 1、隔离受感染主机 2、切断传染途径 3、修复系统隐患 二.隔离受感染服务器主机 如果发现已经有主机被感染,立刻对此主机进行隔离。对于不确定是否已经被感染的主机当前阶段先不要逐一确认,请优先按照下述第三点和第四点处理。 判断方法:出现下述界面的主机
操作方法: 全部服务器断开网络,如:拔掉网线、操作系统内禁用网络连接。对于已经感染病毒的服务,目前业界暂无有效解决方案,建议隔离放置,暂时不要做任何操作。影响及可能的问题: 业务系统无法对外访问 三.切断病毒传播路径 1、切断内网传播途径 方法: 内网交换机上配置访问控制策略,禁止内网之间的135、137、139、445端口的访问权限。具体操作方案请参照对应交换机产品的操作手册。
针对无线网络也需要进行隔离,具体方法建议根据无线产品特性确认方案;我司建议先临时关闭无线访问,待全部终端电脑修复完毕后再开启无线。 影响及可能的问题: 1)建议核心交换、汇聚交换机、接入层交换机等具备访问控制策略功能的交换机全部开启。 2)445等端口为网上邻居、共享应用的端口,禁用端口后对应的应用将无法 对外系统服务。例如:打印机、共享文件夹等应用。 2、切断外网传播途径 方法: 下述两种方法根据贵司实际情况选择一种最快的方式执行即可。 1)安全网关设备开启对应防护规则 应用层防火墙、IPS等安全网关可能集成相应的防护功能,可以通过其应用层防火的功能阻止外网到内网的传播,具体建议与对应厂商进行确认。 2)安全网关通过限制访问端口进行防护 如果无法通过上述第一点进行防护,可以在边界防火墙设备上禁止对网络中135/137/139/445端口的访问,切断外部传播途径。 四.修复或规避系统漏洞方案
勒索病毒变种肆虐!5分钟教你做好预防措施
近日,一种名为「WannaRen」的勒索病毒疯狂传播,不少 Windows 用户纷纷中招,电脑文 件都被加密无法打开,并被勒索高额赎金。 WannaRen病毒,图/网络 虽然该病毒事件已经告一段落,但梳理整个事件,这个病毒的现身、发展、溯源充满着戏剧 性和危险性,防不胜防。 为了帮助大家更好地了解勒索病毒,今天就给大家科普它的可怕之处,以及教大家如何 5 分 钟内做好预防措施。 01 勒索病毒可怕在哪儿? 此次 WannaRen 勒索病毒在清明节时开始疯狂传播,主要是通过用户打开或下载来源不明的 文件实现入侵。 根据安全团队提供的资料,病毒还会在本地同时执行下载挖矿病毒和勒索病毒两个命令,并 且通过「永恒之蓝」漏洞进行横向传播,感染力超强! 据了解,一旦电脑被入侵,病毒就会自动加密电脑的所有文件,想要恢复就必须支付大额赎金,逾期7 天将永远恢复不了,各大杀毒软件完全无计可施。那么这样的病毒影响有多大呢?给大家一个数据参考下:2017 年的「WannaCry」勒索病毒至少让 150个国家、30万台电脑 中招,造成经济损失达 80 亿美元,给社会和民生安全造成严重危机。 2017年强大的 WannaCry 病毒,图/网络 所以即便这次病毒成功化解,大家也一定要提前做好预防工作,尤其是工作中重要的文件, 千万别掉以轻心! 02 什么样的电脑容易感染?
目前 WannaRen 这类勒索病毒只会感染 Windows 电脑桌面操作系统,主要包括 Windows7、Windows10、Windows XP 等等。建议大家及时在 Windows 设备安装系统更新,定期更新厂 商发布的安全修补程序。若没有更新则潜在风险巨大,其他病毒也会趁虚而入。 如果你使用的是Linux 或者macOS 系统则暂时不会感染,但依然建议你及时系统/安全更新,不要打开来源不明的文件。 03 如何提前做好防护工作? 做好上述基础的防护工作后,办公类重要的文档资料也要提前进行同步备份。毕竟勒索病毒 总会加密电脑几乎所有文件。你想想,要是公司重要机密文档被病毒加密,全都丢失了得造 成多大的损失!为了防止被勒索病毒影响,小编推荐使用联想Filez企业网盘,做好预防工作。使用联想Filez企业网盘的三大优势: ①数据不丢失,使用联想Filez企业网盘功能后,文档会加密储存在云端,不再保存到电脑 本地。从根源上杜绝病毒破坏和勒索现象。同时还支持「多维度历史版本」功能,支持200 个文件历史版本的预览、下载及一键恢复。 ②多设备随时随地查看,因为文档存储在云端,所以不管是手机、电脑、笔记本,只要登录 联想Filez企业网盘同一个账号就能查看。一块行走的 U 盘就此诞生。 如果你担心云端的安全性,其实大可不必。我们独创技术防止后台非法重组文件,2048位网 银级证书保护传输安全,安全性上远高于传统的电脑本地存储。 ③多人高效协作,最后一个大优势便是支持多人协作。在联想Filez云端中,文档支持以链 接分享,可自由调整文档权限,他人收到链接后点击即可在线协作。 同时,每一次文档改动,数据都实时保存,实现高效的办公新方式。
服务器中了勒索病毒后—必看八步骤
标题1:服务器中了勒索病毒后——必看八步骤! 标题2:服务器中招“勒索病毒”后的应急处理方法! 勒索病毒是现在的主流病毒,席卷全球,给全球各大小政企业都带来了巨大的损失。勒索病毒重点在于防,但是黑客无孔不入,再强大的系统都有可能存在漏洞,那已经中了勒索病毒,那该怎么办呢? 最直接的办法就是把中毒的机器进行隔离,断网处理,然后等待专业的安全服务人员上门进行处理,针对一般的勒索病毒应急处理方法,如下: 第一、断网处理,防止勒索病毒内网传播感染,造成更大的损失。 第二、查找样本和勒索相关信息,确认是哪个勒索病毒家族的样本。 第三、确认完勒索病毒家族之后,看看是否有相应的解密工具,可以进行解密。如果是比较老的勒索病毒,可以24小时以内安装360勒索病毒清理软件,看看能不能匹配到加密密钥(360官网可以去找找软件)。 第四、进行溯源分析,确认是通过哪种方式传播感染的进来的,封堵相关的安全漏洞。 第五、衡量电脑或者服务器资料的重要性,如果不重要,可全盘格式化再重装系统。如果资料非常重要,目前没有技术可以破解,数据恢复的可能性较小。 第六、支付比特币。(不建议,也不好操作。因为有很多人交了赎金后发现对方不守信还是没给数据,或者给的数据不可用或者不完整。而且这类事件并不受国家法律保护!) 第七、做好相应的安全防护工作,以防再次感染。找本地专业一点的网络安全供应商帮助你规划网络安全。评估网络风险情况。清理内网存在的其它已经中毒但还没发作的电脑。拦截外部可能再出现的感染可能性。 第八、提醒大家数据千万条,备份第一条,在企业数据还没出现问题之前,一定一定要及时把想备份的内容做个备份!现在ucache灾备云平台有个《灾备云免费普及计划》,已经用过了还不错,功能强大、操作简单、可以同时把服务器里的操作系统、虚拟化/云平台架构、支持各类数据库及应用文件、NAS的时实备份与自动恢复。 重要的是ucache灾备云备份的速度也是非常的快,几百GB的数据,很快就全部备份完了,而且后期也设备了自动增量备份,不占用云端授权容量。ucache灾备云数据备份推荐大家使用。
国内爆发新型勒索病毒wannacry(附解决方法)
国内爆发新型勒索病毒wannacry(附解决方法) 北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网大规模感染,教育网受损严重,攻击造成了教学系统瘫痪,甚至包括校园一卡通系统。据BBC报道,今天全球很多地方爆发一种软件勒索病毒,只有缴纳高额赎金(有的要比特币)才能解密资料和数据,英国多家医院中招,病人资料威胁外泄,同时俄罗斯,意大利,整个欧洲,包括中国很多高校…… 该勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞 MS17-101,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。安天依托对“勒索软件”的分析和预判,不仅能够有效检测防 御目前“勒索软件”的样本和破坏机理,还对后续“勒索软件” 可能使用的技巧进行了布防。安天智甲终端防御系统完全可以阻止此次勒索软件新家族“wannacry”加密用户磁盘文件。事件分析该勒索软件是一个名称为“wannacry”的新家族,目
前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB 漏洞MS17-101,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。当系统被该勒索软件入侵后,弹出勒索对话框:图1 勒索界面加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”。图2 加密后的文件名 攻击者极其嚣张,号称“除攻击者外,就算老天爷来了也不能恢复这些文档” (该勒索软件提供免费解密数个加密文件以证明攻击者可以解密加密文件,“点击按钮,就可以免费恢复一些文档。”该勒索软件作者在界面中发布的声明表示,“3天内付款正常,三天后翻倍,一周后不提供恢复”。)。现实情况非常悲观,勒索软件的加密强度大,没有密钥的情况下,暴力破解需要极高的运算量,基本不可能成功解密。图3 可解密数个文件该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。图4 28种语言 该勒索软件会将自身复制到每个文件夹下,并重命名为 “@WanaDecryptor@.exe”。并衍生大量语言配置等文件:
智能防火墙防护勒索病毒方案
山石网科智能下一代防火墙防御勒索病毒方案 1概述 Cisco在2016年年中网络安全报告中指出的,截止到2016 年,勒索软件已经成为世上最赚钱的病毒类型。“Ransomware has become the most profitable malware type in history.” 勒索病毒软件的专业门槛比较低,在互联网中有很多开源代码。虽然一般勒索赎金的数额不太大,但是却对感染勒索病毒的商业机构、大型企业的业务运转产生实时的影响,甚至是中断。 一般情况下,被感染者都会请专业的安全分析人员来解决,但是解决勒索病毒问题不仅耗时,服务费用也往往会高于勒索赎金,因此在商业活动直接受到影响的情况下,受害企业常常采取直接支付赎金的办法来快速解决问题。 最近,旧金山公共交通铁路(MUNI)的售票系统遭受到了勒索病毒攻击,攻击者加密了和售票机系统相关的所有服务器系统,索要$75000美金的解密赎金,同时威胁要销毁近30GB的关键性数据。这次勒索攻击造成了售票机系统瘫痪,为了不影响工作日高峰期的道路交通,在交付赎金解决问题的两天时间里,被迫让所有乘客免费乘车。日益增多的勒索病毒攻击使得这些企业机构对于能够实时、精准、有效的检测勒索软件攻击,防止其对于重要的核心数据加密提出了更高的要求。
2勒索软件攻击过程 ●攻击者通过社交网络等途径向受害者发送带有恶意附件的邮件。 ●受害者点击执行邮件附件后,附件内的恶意代码便会在主机上执 行,控制主机会主动连接指定的服务器,下载Locky恶意软件到受害主机上并执行。 ●Locky恶意软件安装运行后,会主动连接C&C服务器并下载加密 Key。 ●Locky恶意软件会进行内网扫描,遍历并锁定重要的文件资源并 对其进行加密锁定。 ●加密完成后生成勒索提示文件,要求受害方交纳赎金取得解密公 钥。
Windows永恒之蓝勒索病毒(wannacry)处理指南
Windows永恒之蓝勒索病毒(wannacry) 处理指南 一.病毒说明 近期互联网出现大量勒索软件感染情况,磁盘文件会被病毒加密,该勒索软件是此前活跃的勒索软件Wallet的一类变种,运用了高强度的加密算法难以破解,被攻击者除了支付高额赎金外,往往没有其他办法解密文件,对工作资料和个人数据造成严重损失。根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。 国家计算机病毒应急处理中心在5月13日发布了关于该病毒的紧急预警:关于“wannacry”勒索软件的紧急预警(2017.5.13) 日前,国家计算机病毒应急处理中心通过对互联网的监测,发现一个名为“wannacry”的勒索软件病毒正在全球大范围蔓延,截至目前,该病毒已经席卷包括中国、美国、俄罗斯及欧洲在内的100多个国家。我国部分高校内网、大型企业内网和政府机构专网遭受攻击。经紧急分析,判定该勒索软件是一个名为“wannacry”的新家族,基于445端口的SMB漏洞(MS17-101)进行传播,攻击者利用该漏洞,针对关闭防火墙的目标机器,通过445端口发送预先设计好的网络数据包文,实现远程代码执行。当系统被该勒索软件感染后,一是会弹出勒索对话框,采用AES和RSA加密算法加密系统中的照片、图片、文档、压缩包、音频、视频、可执行文件等类型的文件;二是会将自身复制到系统的每个文件夹下,并重命名为“@WanaDecryptor@.exe”;三是生成随机IP并发起新的网络攻击。 由于该勒索软件的加密强度大,目前被加密的文件还无法解密恢复。针对遭受攻击的情况,建议采取如下措施: 1、在无法判断是否感染该勒索软件的情况下,立即断网,检查电脑主机,修复MS17-010漏洞、关闭445端口。 2、对已经感染勒索软件攻击的机器建议立即隔离处置,防止感染范围进一步扩大。 3、出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务。 4、及时备份重要业务系统数据,针对重要业务终端进行系统镜像,制作足够的系统恢复盘或者设备进行替换。 5、目前亚信、安天、360、北信源、瑞星5家公司已经研发出针对该病毒的最新专杀工具。