智能防火墙防护勒索病毒方案

山石网科智能下一代防火墙防御勒索病毒方案

1概述

Cisco在2016年年中网络安全报告中指出的，截止到2016 年，勒索软件已经成为世上最赚钱的病毒类型。“Ransomware has become the most profitable malware type in history.”

勒索病毒软件的专业门槛比较低，在互联网中有很多开源代码。虽然一般勒索赎金的数额不太大，但是却对感染勒索病毒的商业机构、大型企业的业务运转产生实时的影响，甚至是中断。

一般情况下，被感染者都会请专业的安全分析人员来解决，但是解决勒索病毒问题不仅耗时，服务费用也往往会高于勒索赎金，因此在商业活动直接受到影响的情况下，受害企业常常采取直接支付赎金的办法来快速解决问题。

最近，旧金山公共交通铁路(MUNI)的售票系统遭受到了勒索病毒攻击，攻击者加密了和售票机系统相关的所有服务器系统，索要$75000美金的解密赎金，同时威胁要销毁近30GB的关键性数据。这次勒索攻击造成了售票机系统瘫痪，为了不影响工作日高峰期的道路交通，在交付赎金解决问题的两天时间里，被迫让所有乘客免费乘车。日益增多的勒索病毒攻击使得这些企业机构对于能够实时、精准、有效的检测勒索软件攻击，防止其对于重要的核心数据加密提出了更高的要求。

2勒索软件攻击过程

●攻击者通过社交网络等途径向受害者发送带有恶意附件的邮件。

●受害者点击执行邮件附件后，附件内的恶意代码便会在主机上执

行，控制主机会主动连接指定的服务器，下载Locky恶意软件到受害主机上并执行。

●Locky恶意软件安装运行后，会主动连接C&C服务器并下载加密

Key。

●Locky恶意软件会进行内网扫描，遍历并锁定重要的文件资源并

对其进行加密锁定。

●加密完成后生成勒索提示文件，要求受害方交纳赎金取得解密公

钥。

3山石智能下一代防火墙对于勒索病毒的全方位检测和防范

山石的智能下一代防火墙（iNGFW）集成了NGFW的IPS/AV基于静态签名的检测引擎，基于已知病毒攻击行为学习及分析的未知威胁检测引擎等其他检测引擎。利用这些检测引擎能够对于Locky病毒及其变种，在其开始传播到最后执行阶段的攻击流量特征和异常网络行为，进行全方位的检测和阻断。

除此之外，山石的云端生态系统能够实时与第三方信誉网站进行Locky及变种勒索病毒威胁情报的同步，结合威胁情报、黑白名单及

其他信誉特征库，实时推送给iNGFW设备进行本地特征库的更新，以确保iNGFW设备能够为客户防护最新的勒索病毒及其变种。

3.1部署山石网科iNGFW设备检测勒索病毒攻击的案例

?在病毒传播阶段，iNGFW的AV扫描引擎对于邮件中各种类型的附件进行扫描，根据最新的特征库进行匹配检测已知的勒索病毒。在实际客户部署的iNGFW设备中发现，在Locky最初传播的附件中检测到Trojan/Generic.ASMalwRG.70的木马病毒，并对其进行了拦截过滤。

除此之外，iNGFW 的AV引擎还可以利用URL的信誉库来检测到已知的恶意病毒。

?对于Locky病毒软件运行时，iNGFW的域名黑名单可以针对外部的固定域名连接进行及时的检测和阻断。在实际客户部署的iNGFW设备中发现，Locky攻击执行后，第一时间连接了https://www.360docs.net/doc/bf7847143.html,域名，而这

个域名已经包含在了iNGFW的域名黑名单中，因此该访问连接被立刻检测到并加以阻断。

?iNGFW还有基于海量已知病毒样本所建立的机器学习模型检测引擎，可以对于已知Locky病毒及其变种进行攻击行为相似性的分类和类聚。

?上述基于已知病毒特征库的检测手段对于已知Locky病毒的检测虽然有效，但是由于特征库的更新有时效性，所以对于最新的近乎0-day 的勒索病毒攻击却往往无效。这就需要通过病毒被植入后的种种网络行为来进行检测。

?如上文图中描述的勒索病毒攻击过程，Locky恶意软件成功的被下载到受害主机后会反链黑客的C&C服务器，获取进一步的指令和加密公钥，而C&C的域名常常是通过DGA算法生成或者之前用过的注册域名等。 iNGFW 的DGA检测引擎可以准确、有效地检测到DGA的域名活动，升级主机的风险级别，管理员也可以决定是否针对此类风险等级的风险主机进行不同程度的控制。下图展示了主机遭受Locky病毒攻

击后，进行DGA域名的服务器反链，iNGFW检测到的https://www.360docs.net/doc/bf7847143.html, 就是一个很典型的DGA域名。

?iNGFW的行为分析引擎还可以通过关联各种检测维度来检测Locky病毒攻击过程中的异常行为。例如检测用户在进行邮件附件下载或HTTP 脚本文件下载后，立即向外部未知地址的服务器发起请求（依赖于已知域名或IP地址的黑白名单），从而可以提升风险主机的风险等级，再由用户决定是否针对此类风险等级的风险主机进行控制。

?此外，iNGFW利用云智能生态系统，在云端对于最新的病毒特征库，黑白域名，及其他的各种信誉库进行持续的同步更新，并及时推送各种最新的特征库到设备端。如下图所示，这个站点有及时的勒索病毒下载域名的更新，可以通过持续监控来及时更新相应的域名黑名单。

4总结

山石网科的iNGFW 应对Locky病毒攻击具有多道防线，利用其多种检测引擎，在攻击的不同阶段，从静态的特征分析到动态的行为分析，同时结合山石云智能生态系统中的云端信誉库和特征库的监控和更新，在应对Locky勒索软件攻击方面，形成了全方位的、有效的检测防御体系。

最新勒索软件WannaCrypt病毒感染前后应对措施

最新勒索软件WannaCrypt病毒感染前后应对措施 针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地，大量的技术流派，安全厂家等纷纷献计献策，有安全厂家开发各种安全工具，对安全生态来说是一个好事，但对个人未必就是好事，我们国家很多用户是普通用户是安全小白，如果遭遇WannaCrypt勒索软件，我们该怎么办? 作者：simeon来源：https://www.360docs.net/doc/bf7847143.html,|2017-05-14 23:03 收藏 分享 技术沙龙| 6月30日与多位专家探讨技术高速发展下如何应对运维新挑战！ 【https://www.360docs.net/doc/bf7847143.html,原创稿件】针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地，大量的技术流派，安全厂家等纷纷献计献策，有安全厂家开发各种安全工具，对安全生态来说是一个好事，但对个人未必就是好事，我们国家很多用户是普通用户是安全小白，如果遭遇WannaCrypt勒索软件，我们该怎么办?是主动积极应对，还是被动等待被病毒感染，这完全取决于您个人选择，笔者战斗在病毒对抗的第一线，将一些经验跟大家分享，希望能对您有所帮助!本文收集了windowsxp-windows2012所有的补丁程序以及360等安全公司的安全工具程序供大家下载，下载地址：https://www.360docs.net/doc/bf7847143.html,/s/1boBiHNx 一.病毒危害 1.1病毒感染的条件 到互联网上乃至技术专家都认为WannaCrypt攻击源头来自于MS17-010漏洞，在现实中很多被感染网络是内网，mssecsvc.exe病毒文件大小只有3M多，其后续加密生成有多个文件，这些文件是从哪里来，内网是跟外网隔离的!笔者整理认为病毒感染是有条件的： 1.Windows7以上操作系统感染几率较高 2.在感染的网络上，如果系统开放了445端口，将被快速感染计算机。 3.内网补丁更新不及时 1.2病毒感染的后果 WannaCrypt勒索病毒被定义为蠕虫病毒，其传播速度非常快，一旦被感染，只有两种途径来解决，一种是支付赎金，另外一种就是重装系统，所有资料全部归零。通过笔者分析，如果是在病毒WannaCrypt发作前，能够成功清除病毒，将可以救回系统，减少损失!360也提供了一款勒索蠕虫病毒文件恢复工具RansomRecovery ，其下载地址：https://www.360docs.net/doc/bf7847143.html,/recovery/RansomRecovery.exe主要针对勒索病毒成功感染后的恢复，越早恢复，文件被恢复的几率越高 二、WannaCrypt勒索病毒原理分析 WannaCrypt勒索病毒原理分析笔者再次就不赘述了，详细情况请参阅WanaCrypt0r勒索蠕虫完全分析报告(https://www.360docs.net/doc/bf7847143.html,/learning/detail/3853.html)。 笔者要想说的是病毒感染的三个时间段： 1.病毒感染初阶段，病毒从未知渠道进入网络，病毒开始攻击内网某台主机，对计算机存在漏洞计算机进行攻击，成功后释放mssecsvc.exe文件，并连接固定url(54.153.0.145): https://www.360docs.net/doc/bf7847143.html,; a)如果连接成功,则退出程序 b)连接失败则继续攻击 2.病毒感染中阶段 接下来蠕虫开始判断参数个数,小于2时,进入安装流程;大于等于2时,进入服务流程 3.病毒感染后阶段，对磁盘文件进行加密处理，出现勒索软件界面。

勒索病毒简介及处理

Cryptowall、locky、cerber等勒索病毒 的运行原理及预防杀毒普及贴 勒索病毒概述： 勒索病毒从2014年开始兴起，2015年开始逐步流行，到2016年已经开始波及全球了。黑客勒索的金额估计已经超过4亿。对企业公司造成了巨大损失。美国FBI悬赏300万缉拿比特币敲诈者”木马家族的作者名叫艾维盖尼耶米哈伊洛维奇波格契夫。 从2015年开始，国内陆续发现勒索病毒，到2015年底开始达到高峰，日中病毒数超千台。有很多企业局域网内电脑集体中毒，造成巨大损失。 由于被加密文件都是用的比较高级的加密算法，所以受害者除了付款买回，没有别的办法解密文件。 勒索病毒传播 黑客通过邮件、漏洞或者挂马网站，传播病毒。一但用户点击中毒，病毒便加密客户的文档，然后上传私钥，留下勒索信息，限期付款赎回，否则中毒者的文档将永远无法找回。

勒索病毒图解 1、关于病毒传播方式： 由于现在技术的发展，黑客也开始讲求分工合作。制作病毒跟传播病毒都开始由专门的人士负责，CERBER就是典型，根据最新的病毒样本分析，CERBER附带的一个.json格式的配置文件。通过研究这个文件，我们发现这种特别的勒索软件是可以定制的，黑客自己可以改变赎金的数额大小，定制特定的文件扩展列表，当然还有需要感染国家的黑名单。这表明CERBER本身就是为了卖给二手黑客贩子而设计，量身定制勒索需求服务的。 现在的病毒传播一般黑客都是外包给专门的病毒传播机构，一般通过邮件钓鱼、网站挂马和电脑漏洞传播。 2、关于加密算法： 现在的勒索病毒加密方式一般用的RSA算法和AES算法。 AES算法（英语：Advanced Encryption Standard简写），在密码学中又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES，已经被多方分析且广为全世界所使用。经过五年的甄选流程，高级加密标准由美国国家标准与技术研究院（NIST）于2001年11月26日发布于FIPS PUB197，并在2002年5月26日成为有效的标准。2006年，高级加密标准已然成为对称密钥加密中最流行的算法之一。 RSA算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。RSA 是1977年由罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。 理论上，这2种算法只要超过15位数就基本无法破解，而黑客一般用的是128位，用现在的电脑技术破解的话需要几十万年。这也是黑客之所以嚣张的底气。

关于做好勒索病毒防范工作的紧急通知

关于做好新型计算机勒索病毒防范工作的紧急通知 全体员工： 由于本次新冠疫情的全球化扩散，导致目前全球各国经济处于增长放缓或停滞衰退的状态。大量企业倒闭，员工失业，由此也催生了勒索病毒相关黑产群体的进一步扩大。 近期，新型勒索病毒大肆传播。最近半个月，仅张家港本地，已发生多起中毒事件。由于无法解密，感染用户只能通过缴纳赎金的方式恢复数据。相关监测显示目前该类型病毒主要通过电子邮件、远程暴力破解、扫描特定的网络服务端口、同时也会通过各种计算机软件漏洞和用户不安全使用计算机和网络的行为进行入侵和传播。为了做好安全防范工作，请全体员工高度重视，做好以下防范措施： 一、及时安装防病毒软件，落实安全防护措施。 公司采购有企业正版杀毒安全软件《火绒安全软件》，各位计算机使用者如发现自己计算机未有安装，请立即与IT管理员联系。 二、加强密码强度，下班及时关闭计算机。 1、计算机登录密码应设置强密码（8位以上,包含大小写字母、数字及特殊字符）； 2、必须使用远程登录应用协议的计算机、服务器在设置强密码的同时，还应开启 二次动态口令验证。 3、由于大多数攻击发生在半夜，因此各位员工下班前一定要关闭计算机！ 三、强化安全意识，抵制诱惑，规范行为。 各用户要提高用户安全意识，不要点击不明链接，不要下载/打开/安装不明文件，不要点击/打开不明邮件，不要浏览非法网站。 四、及时做好工作资料的备份工作。 各用户应每天/每周将工作资料上传至PLM、文件服务器进行备份和归档工作。 五、疑似中毒的紧急处理办法。 发现计算机异常，应立即断开网络并关机，切勿重启。报IT管理员进行处理。 附则： 一、本通知由行政人事部发布，行政人事部负责解释。 二、请各位员工务必重视，如因个人未遵守管理而造成后续相关损失的，需承担相应 的责任与赔偿。 三、如有任何疑问及事件支持，请联系IT管理员 行政人事部 2020年3月28日

勒索病毒防范方法

勒索病毒防范方法 一、系统补丁更新 从官方下载适配自己电脑操作系统的MS17-010补丁～本压缩包中也会包含。在安装补丁过程中出现“此更新无法适配本系统”问题时～因为电脑操作系统未更新到SP3～请下载sp3补丁将操作系统更新到SP3～然后再更新MS17-010补丁。 二、端口关闭 1、关闭 445、135、137、138、139 端口～关闭网络共享也可以避免中招。方法如下: ,1,运行输入“dcomcnfg” ,2,在“计算机”选项右边～右键单击“我的电脑”～选择“属性”。 ,3,在出现的“我的电脑属性”对话框“默认属性”选项卡中～去掉“在此计算机上启用分布式COM”前的勾。 ,4,选择“默认协议”选项卡～选中“面向连接的TCP/IP”～单击“删除”按钮 2、关闭 135、137、138 端口 在网络邻居上点右键选属性～在新建好的连接上点右键选属性再选择网络选项卡～去掉 Microsoft 网络的文件和打印机共享～和 Microsoft 网络客户端的复选框。这样就关闭了共享端 135 和 137 还有 138端口 3、关闭 139 端口 139 端口是 NetBIOS Session 端口～用来文件和打印共享。关闭 139 的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性～进入“高级 TCP/IP 设置”“WINS设置”里面有一项“禁用 TCP/IP的NETBIOS ”～打勾就可关闭 139 端口。

4、关闭 445 端口 ,1,注册表关闭。开始-运行输入 regedit. 确定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\ NetBT\Parameters～新建名为“SMBDeviceEnabled”的DWORD值～并将其设置为 0～则可关闭 445 端口。 ,2,关闭Server服务。检查系统是否开启Server服务: 按“WIN+R”键～打开运行窗口, 输入”services.msc”～回车, 查找service～查看service服务状态～如果开启～请右击属性选择关闭。 ,3,手动关闭445端口。打开开始按钮～点击运行～输入cmd～点击确定,输入命令:netstat -an 回车,查看结果中是否还有445端口,依次输入下面命令:net stop rdr 回车,net stop srv 回车,net stop netbt 回车,再次输入 netstat -ano～成功关闭 445 端口。如果还不有445显示～需要重启电脑就好了。 ,4,配置主机级 ACL 策略封堵 445 端口。通过组策略 IP 安全策略限制Windows 网络共享协议相关端口 开始菜单->运行，输入 gpedit.msc 回车。打开组策略编辑器 在组策略编辑器中，计算机配置->windows 设置->安全设置->ip 安全策略下，在编辑器右边空白处鼠标右键单击，选择“创建IP 安全策略”

企业防勒索病毒安全解决方案

企业防勒索病毒安全解决方案 一、方案应用背景 勒索病毒是指：黑客通过锁屏、加密文件等方式劫持用户文件数据，并敲诈用户钱财的恶意软件，利用恶意代码干扰中毒者的正常使用，只有交钱才能恢复正常。自2017年5月WannaCry勒索病毒爆发以来，在短时间内大范围传播，给企业、高校、医院机构、公共基础设施造成了严重后果。硅谷网络风险建模公司Cyence的首席技术长George Ng称，仅“永恒之蓝”网络攻击造成的全球电脑死机直接成本总计约80亿美元。中国是勒索病毒攻击受害最为严重的国家之一，WannaCry勒索病毒爆发时仅一天时间，国内有近3W机构被攻击，覆盖至全国各地，其中教育、医疗、大型企业是国内被攻击最为严重的三大行业。 时隔一年后的2018年，勒索病毒威胁犹存。据相关机构统计，Globelmposter、Crysis、GandCrab、Satan是2018年上半年最为活跃的四大勒索病毒家族，传播量占到上半年勒索病毒传播总量的90%以上。今年七月，针对Windows 服务器的勒索病毒“撒旦”开始对大批企业服务器发起攻击，病毒会将计算机中的数据库文件进行加密，同时还具备二次传播能力，有可能入侵局域网内的其他机器。专家预测，由于利润丰厚、追踪困难等原因，未来各种勒索软件的攻击将会更为频繁，杀伤力也更大。

二、方案应对方法 针对持续爆发的勒索病毒，应当通过构建起从事前到事后全周期、全方位的安全防护体系，帮助各企事业单位及国家关键信息基础设施部门抵御勒索病毒的侵害。 在事前，从传播、加密、扩散三条路径对勒索病毒进行监测，并从网络异常、入侵、多引擎病毒、威胁变种基因等多方面进行分析检测，对未知威胁，采用沙箱检测方式，检测涵盖已知未知高级威胁，检测结果以预警方式发布，建立未知威胁预警体系。 勒索病毒有以下传播方式: 1、通过邮件附件进行传播； 2、通过钓鱼邮件进行群发下载URL传播； 3、企业用户在恶意站点下载病毒文件进行传播；

Symantec-WannaCry勒索病毒预警

发生什么情况？ 2017年5月12日，一种新的已比特币赎金的方式。勒索病毒“Ransom.CryptXXX (WannaCry)开始广泛传播，影响了大量的企业用户，特别是在欧洲。 WannaCry 是什么样勒索？ WannaCry 用已加密数据文件，并要求用户支付$300赎金比特币。赎金明确说明指出，支付金额将三天后增加一倍。如果付款在七天后，加密的文件将被删除。 勒索信息截图（中文） 勒索信息截图（英文） 同时下载一个文件为“!Plesae Read Me!.txt”其中文本解释发生了什么，以及如何支付赎金

同时WannaCry加密文件具有以下扩展名，并将.WCRY到添加到文件名的结尾： ?.lay6 ?.sqlite3 ?.sqlitedb ?.accdb ?.java ?.class ?.mpeg ?.djvu ?.tiff ?.backup ?.vmdk ?.sldm ?.sldx ?.potm ?.potx ?.ppam ?.ppsx ?.ppsm ?.pptm ?.xltm ?.xltx ?.xlsb ?.xlsm ?.dotx ?.dotm ?.docm ?.docb ?.jpeg ?.onetoc2 ?.vsdx ?.pptx ?.xlsx ?.docx 此勒索软件的传播是利用微软已知SMBv2中的远程代码执行漏洞：MS17-010

使用Symantec防护软件否得到保护，免受威胁？ 使用了赛门铁克和诺顿的客户已经检测WannaCry并实施有效的保护。以下检测病毒和漏洞 n病毒 l Ransom.CryptXXX l Trojan.Gen.8!Cloud l Trojan.Gen.2 l Ransom.Wannacry n入侵防御系统 l21179（OS攻击：的Microsoft Windows SMB远程执行代码3） l23737（攻击：下载的Shellcode活动） l30018（OS攻击：MSRPC远程管理接口绑定） l23624（OS攻击：的Microsoft Windows SMB远程执行代码2） l23862（OS攻击：的Microsoft Windows SMB远程执行代码） l30010（OS攻击：的Microsoft Windows SMB RCE CVE-2017-0144） l22534（系统感染：恶意下载活动9） l23875（OS攻击：微软SMB MS17-010披露尝试） l29064（系统感染：Ransom.Ransom32活动） 企业用户应确保安装了最新的Windows安全更新程序，尤其是MS17-010，以防止其扩散。 谁受到影响？ 全球有许多组织受到影响，其中大多数在欧洲。

勒索病毒操作流程.doc

关于应对勒索病毒相关事宜的紧急通知 各研究所、中心、室、厂、站、队、机关及各直属部门： 5月12日晚开始，在国内外网络中陆续出现针对windows 操作系统的勒索病毒，该病毒基于网络途径传播，对计算机文件进行加密破坏，部分服务器和个人计算机收到攻击，部分系统目前不能正常使用。根据** 公司和局信息管理部要求，关闭办公网络及相关服务器，对于各办公室机器，具体安排如下：一、对于未中毒的设备 1、断网。 2、关闭445 端口。（具体操作见附件） 3、按照windows 版本运行相应的补丁。 4、安装NAS免疫工具。 5、使用查杀工具杀毒。 二、对于中毒的设备 1、断网、登记。 2、原则上全盘格式化，重新安装操作系统。 3、关闭445 端口。（具体操作见附件） 4、按照windows 版本运行相应的补丁。（以分发至各所） 5、安装NAS免疫工具。 注：补丁、免疫工具及查杀工具已分发至各所

技术支持电话：7805870

注意：实施之前请拔掉网线。进行如下两步操作：1、关闭445端口，2、打补丁 关闭445端口流程 一、单击开始”一一运行”，输入“regedit ”，单击确定”按钮，打开注册表。 、找到注册表项 HKEY_LOCAL_MACHINE \System\Curre ntCo ntrolSet\Services\NetBT\Parame o ters

paiqeu3eo!Aaag|/\IS… adOMQ # '同 侑》莹邂帥(7)>S C3)g$? 宿)扫苴 ■ (5)18 SMS? ■ ? ㈢則宙捷去翌 (3)串右 讯)曰塞母古金 0)a}QyOMa ⑻g ：題 ⑺劇H (5?s&± …0烘蔓 h 的冋 [ 1 9^ ° a IKldOMQ … —— “iOg 仲寅韜孚顶 a sjejaiiiejed… t? '三 501 fl w rn '* Axojdorj rn * “柄补n 由 测裁o + icfeism rj !+ SICBM O 卡 【IP “声w n > 【姮】归；中阻? L + 5w rj 匡 5Ct|qW55LU 厂 + WbdSW 1+ SDcro 却 n ：+ S sacejjaim | TTS — mt 电:押i —- umug W\ - 193?N LI

医院大数据安全分析与勒索病毒防护方案

医院大数据安全分析与勒索病毒防护方案

目录 Contents 01医院信息安全现状 02大数据安全分析 03勒索病毒防护 04用户案例

01医院信息安全现状

内蒙古 新疆 甘肃四川 辽宁 陕西河南湖南 山西北京河北山东 江苏 浙江 上海广东 湖北重庆江西 福建 吉林黑龙江 西藏 安徽 金融, 4% 教育, 7% 制造业, 7% 政府机构, 7% 医疗, 25% 对外贸易, 11% 工业企业, 17% 互联网, 16% 其他, 6% 地域分布 行业分布 2019以来全国勒索攻击态势 云南 贵州 广西 青海

由于部分医院信息系统存在安全风险，勒索病毒受利益驱使，依然是危害医院的主要安全风险之一。自去年7月以来，勒索病毒一直处于持续活跃的状态，其中8月份相对于7月勒索病毒传播有所加强。另外在全国三甲医院中，有247家医院检出了勒索病毒，以广东、湖北、江苏等地区检出勒索病毒最多。 ... ... 其中，被勒索病毒攻击的操作系统主要以Windows 7为主，Windows 10次之，以及停止更新的Windows XP。对此报告指出，当前没有及时更新操作系统的医疗机构仍占有一定的比例，这极有可能会为医疗业务带来极大的安全隐患。

以十二生肖作为后缀，“狗”生肖尚未出现 GlobeImposter 勒索病毒家族：2017年出现，2018年8月 份演进为V3.0版本。整体特点如下: 加密方法：采用RSA 和AES 两种加密算法的结合。----无法破解！主要的传播方式:扫描渗透+远程桌面登录爆破。----粗暴实用！解密办法：暂无公开的破解方法。V3.0版本特点如下： 1、将加密文件的后缀改成动物名称+4444的样子。 2、当加密完成后，除了清除远程桌面登录信息，还添加了自删除的功能，让追溯分析难度更高。 为什么勒索病毒总是攻击医院？ 成本低、来钱快！

关于防范勒索病毒的紧急通知

关于防范勒索病毒的紧急通知 校园网用户： 近期网络上开始流传一种被称之为“勒索病毒”的恶意程序，该类程序可能会通过电子邮件附件、Office文档、JS脚本、带毒网址等途径传播。一旦中招，病毒会自动以极高强度的加密方式，加密硬盘上所有Office文档、图像、视频、压缩包等类型的文件，目前全球业界尚未找到有效的技术破解方法，即一旦工作文档被病毒破坏，基本上不可能恢复，这将给单位和个人带来巨大损失。 尤其值得关注的是，由于勒索病毒采取了多种先进的对抗技术，使得病毒的每次感染都会自我变形加密，从而绕过所有杀毒软件的特征追杀，即依赖杀软无法有效对抗勒索病毒。 信息中心特别提醒： 1.不要打开来源不明的电子邮件附件，尤其是带有各种诱惑性语言的电子邮件附 件。即使熟人发送的电子邮件，一旦发现不符合逻辑的、与最近交流对不上号的或其他莫名其妙的内容、添加了不常见的附件等，均应当先通过电话、QQ等其他方式确认，否则不可贸然打开附件。 2.不要点击安全状态不明的网页地址。对于QQ、电子邮件以及网站、论坛等场 合见到的网站地址，如果不能确定其安全性，请切勿点击。对于以一串无意义乱码组成的域名、其他不熟悉的域名，更不要随便点击。 3.禁用自动播放功能。U盘、移动硬盘也是一个重要的病毒传播途径，病毒可能 会通过移动设备的自动播放功能而自动激活、感染。禁止自动播放的步骤： 运行（win+r键）→输入gpedit.msc并回车→计算机配置→管理模板→Windows组件→自动播放策略→关闭自动播放→已启用→全部驱动器→确定。 4.禁用危险文件类型和危险文件。步骤：运行（win+r键）→输入secpol.msc并 回车→软件限制策略→鼠标右键点击，选择“创建软件限制策略”→其他规则→右击，新建路径规则→在路径栏输入：Wscript.exe→确定。重复前述“新建路径规则”操作，但路径栏分别输入Cscript.exe和*.scr，再建立两条路径规则；查看一下当前所有硬盘盘符，确定如果插入U盘或移动硬盘时可能会用到哪些盘符，比如U盘盘符为H:，则再次创建一条路径规则，在路径中输入H:\*.*；如果移动硬盘有多个分区或可能同时使用多只U盘，则以此类推创建更多的盘符规则。这样可有效阻止所有JS脚本以及.SCR 类型的文件被加载，并且阻止移动介质上直接运行任何可执行文件（文档打开不受影响），可极大地提高移动介质的安全性。注意：对于Home版（家庭版）的操作系统，本项创建策略功能无法使用。 5.注重工作文档和个人重要数据的备份。可通过移动磁盘、网盘等方式定期离线 备份重要工作文档；当前紧急、重要的工作除了这些方式外，还可向自己的电子邮箱以附件发送一份电子邮件作为临时备份。万一发生感染勒索病毒的情况，请切勿自行重装系统、尝试打开加密文件等，可第一时间关闭计算机电源并向信息中心寻求帮助，也许能够最大限度挽救工作数据。 特此通知，请广大校园网用户加强防范。 信息化建设与发展中心 2016年4月6日

新型勒索病毒的整体安全检测防护解决方案V2.0

新型勒索病毒的整体安全检测防护解决方案 一．事件概况 ●行业内网爆发勒索病毒变种 今年2月份起，医院、政府等行业爆发大规模信息勒索病毒感染事件，包括GandCrab V5.2、Globelmposter V3.0等，受影响的系统和数据库文件被加密勒索。黑客主要是通过钓鱼邮件、漏洞利用、恶意程序捆绑等方式进入内部网络，之后通过SMB漏洞攻击、RDP（windows系统远程桌面协议）口令爆破等形式大规模感染整个网络，导致终端、业务系统、数据库等被加密勒索，全国大部分省份相关单位都受到影响。 ●新型变种Globelmposter V3.0 Globelmposter勒索病毒的安全威胁热度一直居高不下。本次爆发的Globelmposter V3.0勒索病毒变种攻击手法非常丰富，可以通过社会工程、RDP爆破、恶意软件捆绑等方式进行传播其加密文件为*4444扩展名，采用RSA2048算法加密文件，目前该病毒样本加密的文件暂无解密工具，在被加密的目录下生成HOW_TO_BACK_FILES的txt文件，显示受害者的个人ID 序列号及黑客的联系方式等。 ●新型变种GandCrab V5.2 GandCrab 勒索病毒变种可绕过杀毒软件的检测，通过永恒之蓝MS17-010漏洞、共享文件服务、远程桌面服务（RDP）弱口令等方式在内网进行传播，随机生成后缀名对系统重要数据和文件进行加密，目前暂无加密工具 二．由勒索病毒反思网络安全建设 勒索病毒并非APT攻击，仅仅是病毒攻击行为，并不是不可防御的。并且，微软在17年就已经发布了SMB 相关漏洞的补丁，用户有足够的时间做好预防工作，为什么还有大量用户受影响？并且其中还包括一些行业的与互联网隔离的专网，除了在口令安全、高风险端口禁止对外开放等方面的安全意识需要提升之外，主要的原因还有以下几点： 1）大量用户缺乏全过程保护的安全体系 这起事件并非APT攻击或0DAY攻击，大部分用户的安全建设仅仅是在事中堆叠防御设备，缺乏事前风险预知的能力，使其没有提前部署好安全防护手段；在威胁爆发后，又没有持续检测和响应的能力，使得这些客户在事件爆发前没有预防手段、爆发中没有防御措施、爆发后没有及时检测和解决问题的办法。 2）忽视了内部局域网、专网和数据中心的安全防护 经过这段时间的响应，我们发现很多客户的威胁是与互联网相对隔离的内部网络中泛滥。比如专网、内网、数据中心，这些区域过去被用户认为是相对安全的区域，很多客户在这些区域仅仅部署了传统防火墙进行防护。但勒索病毒感染内部网络的途径很多，比如U盘等存储介质、比如社会工程学，再或者是与DMZ间接相连的网络都可能成为来源。 3）过于复杂的安全体系，没有发挥应有作用

比特币病毒想哭病毒介绍和防范

比特币病毒、想哭病毒WannaCry（又叫WannaDecryptor），一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。 该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB)，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。勒索金额为300至600美元。 2017年5月14日，WannaCry 勒索病毒出现了变种：WannaCry 2.0，取消Kill Switch 传播速度或更快。截止2017年5月15日，WannaCry造成至少有150个国家受到网络攻击，已经影响到金融，能源，医疗等行业，造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。 目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称，美国国家安全局未披露更多的安全漏洞，给了犯罪组织可乘之机，最终带来了这一次攻击了150个国家的勒索病毒。 病毒概况 2017年4月16日，CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》，对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报（相关工具列表如下），并对有可能产生的大规模攻击进行了预警。 当用户主机系统被该勒索软件入侵后，弹出如下勒索对话框，提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名被统一修改为“.WNCRY”。目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。 WannaCry主要利用了微软“视窗”系统的漏洞，以获得自动传播的能力，能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：WNcry@2ol7解

勒索病毒变种肆虐!5分钟教你做好预防措施

近日，一种名为「WannaRen」的勒索病毒疯狂传播，不少 Windows 用户纷纷中招，电脑文 件都被加密无法打开，并被勒索高额赎金。 WannaRen病毒，图/网络 虽然该病毒事件已经告一段落，但梳理整个事件，这个病毒的现身、发展、溯源充满着戏剧 性和危险性，防不胜防。 为了帮助大家更好地了解勒索病毒，今天就给大家科普它的可怕之处，以及教大家如何 5 分 钟内做好预防措施。 01 勒索病毒可怕在哪儿？ 此次 WannaRen 勒索病毒在清明节时开始疯狂传播，主要是通过用户打开或下载来源不明的 文件实现入侵。 根据安全团队提供的资料，病毒还会在本地同时执行下载挖矿病毒和勒索病毒两个命令，并 且通过「永恒之蓝」漏洞进行横向传播，感染力超强！ 据了解，一旦电脑被入侵，病毒就会自动加密电脑的所有文件，想要恢复就必须支付大额赎金，逾期7 天将永远恢复不了，各大杀毒软件完全无计可施。那么这样的病毒影响有多大呢？给大家一个数据参考下：2017 年的「WannaCry」勒索病毒至少让 150个国家、30万台电脑 中招，造成经济损失达 80 亿美元，给社会和民生安全造成严重危机。 2017年强大的 WannaCry 病毒，图/网络 所以即便这次病毒成功化解，大家也一定要提前做好预防工作，尤其是工作中重要的文件， 千万别掉以轻心！ 02 什么样的电脑容易感染？

目前 WannaRen 这类勒索病毒只会感染 Windows 电脑桌面操作系统，主要包括 Windows7、Windows10、Windows XP 等等。建议大家及时在 Windows 设备安装系统更新，定期更新厂 商发布的安全修补程序。若没有更新则潜在风险巨大，其他病毒也会趁虚而入。 如果你使用的是Linux 或者macOS 系统则暂时不会感染，但依然建议你及时系统/安全更新，不要打开来源不明的文件。 03 如何提前做好防护工作？ 做好上述基础的防护工作后，办公类重要的文档资料也要提前进行同步备份。毕竟勒索病毒 总会加密电脑几乎所有文件。你想想，要是公司重要机密文档被病毒加密，全都丢失了得造 成多大的损失！为了防止被勒索病毒影响，小编推荐使用联想Filez企业网盘，做好预防工作。使用联想Filez企业网盘的三大优势： ①数据不丢失，使用联想Filez企业网盘功能后，文档会加密储存在云端，不再保存到电脑 本地。从根源上杜绝病毒破坏和勒索现象。同时还支持「多维度历史版本」功能，支持200 个文件历史版本的预览、下载及一键恢复。 ②多设备随时随地查看，因为文档存储在云端，所以不管是手机、电脑、笔记本，只要登录 联想Filez企业网盘同一个账号就能查看。一块行走的 U 盘就此诞生。 如果你担心云端的安全性，其实大可不必。我们独创技术防止后台非法重组文件，2048位网 银级证书保护传输安全，安全性上远高于传统的电脑本地存储。 ③多人高效协作，最后一个大优势便是支持多人协作。在联想Filez云端中，文档支持以链 接分享，可自由调整文档权限，他人收到链接后点击即可在线协作。 同时，每一次文档改动，数据都实时保存，实现高效的办公新方式。

防勒索解决方案

美创科技 防勒索解决方案 年初勒索病毒爆发事件，再一次拉起了“防勒索”的警报，美创顺势推出了“诺亚”防勒索系统，向勒索病毒坚决“宣战”！ 在以往的黑客攻击案例中，攻击目标主要集中于加密文档、图片等个人数据，但“贪得无厌”的黑客，逐渐将攻击目标转移到了企业，除了常见的企业终端（ATM机、自助加油机等）、业务文档等攻击目标，针对数据库的勒索病毒也开始“大行其道”，成为近来勒索病毒目标的延伸。 美创科技通过对勒索病毒的分析，结合多年数据安全经验积累，推出了防勒索整体解决方案，从文档防勒索、哑终端防勒索、数据中心防勒索、底线防御等多角度构筑安全防线。 l文档防勒索 采用白名单机制，将文档限定为只能由某个应用或者特定的应用修改。在识别应用的特征上，美创“诺亚”防勒索系统采用了多种方式来限定合规程序，包括程序名、程序签名以及安全标签（哈希值）等等，从而防止仿冒程序鱼目混珠。 同样，对于数据库文件，通过“诺亚”防勒索系统，客户可以指定或限定访问数据库文件的数据库程序，并进一步防止其他的数据库程序对数据库文件进行修改。例如，勒索病毒可能会修改数据库文件的后缀名，再利用加密机制进行加密，此时“诺亚”防勒索系统会记录相应行为并进行实时对比，判断进程的真实性，并根据策略进行阻断或放行。

l哑终端防勒索 自助服务终端目前已经成为勒索病毒攻击的主要目标，绝大多数运行微软Windows系统的自助服务终端很少进行更新重启关机等操作。由于微软不再发布支持该系统的补丁更新，因此大量设备都处于缺乏终端防护措施的情况下，一旦被勒索病毒入侵，很容易危及全网，影响巨大。“诺亚”防勒索系统针对自助服务终端独创了堡垒安全模式，在这种模式下，非白名单中的程序都无法运行，会被立刻阻断。 l数据中心防勒索 针对数据中心，美创提供由内而外层层整体防御解决方案，即从文档类型的防御、特定终端的防御、到业务系统层面的整体防御策略。 前面已经从“防勒索”角度，梳理了办公文件、数据库文件、哑终端的防勒索措施。 这里重点提数据库本身，美创数据库防水坝从“内控”入手。数据库防水坝将数据进行分级分类，定义不同的资产集合，同时对管理人员进行三权分立，落实最小权限原则。在企业内部DBA和第三方维护人员在接入数据库时，数据库防水坝系统针对接入数据库的身份进行验证（除账号密码之外，还能够控制时间、终端、IP、数字证书等多因子条件），并对其数据库操作行为进行管控。通过防水坝设定的安全策略，能够设定细致的数据操作权限，对企业数据进行分级分类管理，定义不同的资产集合，实现精细化的访问控制策略。同时，对业务系统层面的访问执行白名单机制管理，重要的数据库表格只允许业务系统进行访问。 l底线防御

2017年勒索病毒网络安全分析报告

2017年勒索病毒网络安全分析报告 2017年5月

目录 一、勒索蠕虫软件袭击网络 (6) 1、国内2.8万家机构被攻陷苏浙粤较严重 (6) 2、黑客利用windows漏洞 (7) 3、中毒后只有“认输”别无它法 (7) 4、与传统黑客不同以比特币为赎 (8) 5、打安全补丁预防勒索软件攻击 (9) 6、国内网络安全厂商提出方案 (9) 二、初始病毒已被阻止WannaCry 2.0已出现 (11) 1、初始病毒“自杀开关”被发现 (11) 2、WannaCry 2.0传播速度更快 (12) 三、网络安全事件频发 (12) 1、维基解密：CIA可入侵用户各种电子设备甚至汽车 (12) 2、涉及美国军方、企业等上千万条员工信息的数据库泄露 (13) 3、美国空军数千份高度机密文件被泄，备份服务器竟无秘钥 (13) 4、上百万已被破解的谷歌Gmail 和雅虎账户在暗网低价出售 (14) 5、黑客在暗网出售中国10亿账户数据：主要来自腾讯、网易、新浪等 (14) 四、网络安全行业增长驱动因素 (15) 1、政策驱动网络安全下游需求 (15) 2、2017年党政机关需求带动 (16) 3、安全事故超预期实际需求超预期 (16) 4、技术更新驱动需求和创投并购 (17) （1）2017前2月已有5家AI网络安全企业被收购 (17) （2）防止未知威胁的Invincea被Sophos收购 (17) （3）UEBA技术的被惠普收购 (18) （4）关键IP用户行为分析的Harvest.ai日被亚马逊收购 (19) （5）值得关注的人工智能与网络安全公司 (20)

五、重新认识网络安全 (21) 1、事件驱动网络安全下一轮繁荣 (21) 2、内外网分开不再安全 (22)

关于应对勒索病毒爆发的紧急通知

关于应对勒索病毒爆发的紧急通知 5月12号，全球爆发最大规模的勒索病毒网络攻击，攻击者锁定受害者电脑文档，致使受害者必须向攻击者支付费用方可解锁。 为避免病毒感染扩大，保障您的文件安全，信息中心建议用户立即按以下5点安全措施进行操作： 1.请立即拔掉网线，尽快完成第2步操作后，再接上网线进行后续操作；同时，告知您周围未开机的同事，拔掉网线，再按下面步骤操作。 2.开启系统防火墙，控制面板-Windows防火墙-点击“启用Windows防火墙”并勾选下面两个复选框，参见下图设置。 3.更新windows系统补丁 查看windows系统版本，可右键点击“我的电脑”-“属性”查看系统版本，点击对应补丁下载地址，下载后双击运行，按照提示完成安装后务必重启电脑； Winxp sp3 x86补丁下载地址：

https://https://www.360docs.net/doc/bf7847143.html,/download/4/1/B/41B4AFF6-C3BC -48E6-9A99-4C483BD098D5/WindowsXP-KB4012598-x86-Embedded-Cu stom-CHS.exe Windows 7 sp1 x64 补丁下载地址： https://www.360docs.net/doc/bf7847143.html,/d/msdownload/update/softw are/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4 bac44219e7169812914df3f.msu Win8 x64补丁下载地址： https://www.360docs.net/doc/bf7847143.html,/c/msdownload/update/softw are/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844 ed793e0f2be974148520349.msu Win10 x64补丁下载地址： https://www.360docs.net/doc/bf7847143.html,/c/msdownload/update/softw are/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb51 2b7a3a51dd0d30592ab02f08.msu 微软补丁信息，可参考： https://https://www.360docs.net/doc/bf7847143.html,/zh-cn/library/security/ms17-0 10.aspx 4.请注意定期备份重要数据到移动硬盘。 5.若发现电脑感染了勒索病毒，请立即拔掉网线，并报告当地信息工程部。

勒索病毒的防范与处理

勒索病毒解决方案 一、勒索病毒简介 最近，一种电脑勒索病毒席卷了全球几十个国家。美国、俄罗斯、中国，欧洲国家的Windows电脑受创最重。 和之前一些大面积爆发的病毒比如熊猫烧香等等不同，黑客开发这种病毒并不是为了炫技（单纯地攻击电脑的软硬件）而是为了索财。当电脑受到病毒入侵之后，电脑当中的文件会被加密，导致无法打开。 黑客会要求你提供300美元（2000元人民币）的比特币，才会给你提供解锁的密码。 支付的赎金一定要是比特币的原因是，这种电子货币的账户不易被追踪，更容易隐藏黑客的真实身份。 病毒的设计者特意把勒索的说明信息翻译成了20多个国家和地区的语言版本，好让全世界每一个中了病毒的人都能看懂付款信息，可见野心之大。 而且如果中了病毒的计算机属于高性能的服务器，病毒还会在这台电脑当中植入“挖矿” 程序，让这台计算机成为生产比特币的工具，攻击者可谓无所不用其极，最大程度地榨取受害电脑的经济价值。 电脑中了这种病毒之后，硬盘当中的文件会被AES+RSA4096位的算法加密。 遇到这种加密级别，目前所有家用电脑如果要暴力破解可能需要几十万年。所以一旦被这种病毒感染，加密了自己电脑上的文件，自己是无论如何没办法把文件解密的。如果是政府或者公共机构的重要文件被加密，那只能恢复备份文件。 值得注意的是，这次的病毒袭击还针对了特定的人群，类似“精准投放”。大企业的公共邮箱、高级餐厅的官网等等都是攻击的重点对象。起初病毒会伪装成一封标题非常吸引人的电子邮件，或者伪装成PDF、DOC这样的普通文档，如果存在漏洞的电脑打开了这些链接或者文件，就有可能中招。 如果中招的电脑处于一个局域网当中，那么只要一台电脑感染病毒，其他电脑只要开机上网，马上也会被感染。 病毒会通过像445端口这样的文件共享和网络打印机共享端口的漏洞展开攻击。 二、服务器紧急防范措施 1.立即组织内网检测，查找所有开放445 SMB服务端口的终端和服务器， 一旦发现中毒机器，立即断网处置，目前看来对硬盘格式化可清除病毒。目前微软 已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快为电脑装此 补丁，网址为 https://https://www.360docs.net/doc/bf7847143.html,/zh-cn/library/security/MS17-010；对于 XP、2003等微软已不再提供安全更新的机器，建议升级操作系统版本，或使用 360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端 口，可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址 https://www.360docs.net/doc/bf7847143.html,/nsa/nsatool.exe。 2.一旦发现电脑中毒，立即断网。 3.启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁

WannaCry勒索病毒的技术说明

1事件起源 全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击，并于5月12日国内率先发布紧急预警，外媒和多家安全公司将该病毒命名为“WanaCrypt0r”（直译：“想哭勒索蠕虫”），常规的勒索病毒是一种趋利明显的恶意程序，它会使用加密算法加密受害者电脑内的重要文件，向受害者勒索赎金，除非受害者交出勒索赎金，否则加密文件无法被恢复，而新的“想哭勒索蠕虫”尤其致命，它利用了窃取自美国国家安全局的黑客工具EternalBlue（直译：“永恒之蓝”）实现了全球范围内的快速传播，在短时间内造成了巨大损失。 2危害范围 2.1操作系统 针对微软公司全系列操作系统。 Windows XP、Windows 7、Windows 8、Windows Server 2008、Windows Server2003、Windows Vista和已关闭自动更新的win10用户 注：以下设备不受影响 安卓手机，iOS设备，MacOS设备，*nix设备、Win10 用户如果已经开启自动更新不受影响。 2.2受影响的文件类型 针对下列扩展名文件均会造成危害： ?.lay6 ?.sqlite3 ?.sqlitedb ?.accdb ?.java ?.class ?.mpeg ?.djvu ?.tiff ?.backup

?.vmdk ?.sldm ?.sldx ?.potm ?.potx ?.ppam ?.ppsx ?.ppsm ?.pptm ?.xltm ?.xltx ?.xlsb ?.xlsm ?.dotx ?.dotm ?.docm ?.docb ?.jpeg ?.onetoc2 ?.vsdx ?.pptx ?.xlsx ?.docx 2.3危害方式 受感染文件将被加密（加密算法为AES128位），并要求用户支付$300 赎金比特币。赎金明确说明指出，支付金额将三天后增加一倍。如果付款在七天后，加密的文件将被删除。 同时下载一个文件为“!Plesae Read Me!.txt”其中文本解释发生了什么，以及如何支付赎金。