近日,新一轮的勒索病毒卷土重来,GlobeImposter家族的变种开始在国内流传,目前已有数家医疗机构因该病毒出现系统瘫痪,对业务连续性造成严重影响。
图片来自网络
勒索病毒的前世今生
勒索病毒,是一种新型的病毒种类,主要以邮件、程序木马、网页挂马或利用系统漏洞等形式进行传播。该类病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各类加密算法对用户的重要文件、数据库等进行加密,使被感染的用户重要文件、数据库等被锁死,无法打开。而被感染的用户一般无法解密,必须通过向攻击者支付赎金,拿到专门解密的私钥才有可能破解。
勒索病毒的发展经过:
国内最早出现的勒索病毒始于2006年,是一款名为Redplus勒索木马,该木马会隐藏用户文档,然后弹出窗口勒索赎金,但当时传播和影响极小,直到销声匿迹。其后各类小的勒索病毒层出不穷,但由于各种问题,未造成广泛影响。
比特币诞生后,为勒索病毒的发展带来新的温床,由于比特币使用了区块链技术,无法追踪勒索者,导致自2013年的CryptoLocker勒索病毒起,越来越多的勒索病毒使用比特币作为赎金支付方式。勒索病毒发展进入新时期。其后的病毒加密方式不断进步,传播方式也在朝多样化发展,影响范围不断扩大。
2017年5月,最新的勒索病毒“WannaCry”利用“永恒之蓝”漏洞席卷全球,攻击共影响150多个国家、数十万台计算机和服务器,严重危及医疗、金融、能源、教育等行业的信息系统安全,勒索病毒也第一次大规模进入公众视野。
1、规范上网行为,不浏览来历不明的网站、不打开陌生邮件、不下载陌生文件;下载需要的软件、文档、电影等资源时须通过正规网站进行下载;
2、在所有服务器、终端电脑等设备上安装防病毒软件,关闭内网的文件共享功能,尽量减少共享打印机的使用,并开启操作系统防火墙功能,用系统防火墙关闭TCP及UDP的135、137、138、139、445端口,降低病毒大范围网络传播的风险;建议安装终端管控系统,限制U盘、移动硬盘、光盘等外设的接入,仅允许受信外设通过专用的前置机并进行安全扫描及过滤后实现数据的导入导出,保护内网安全;
3、建议对重要文件及数据库等进行定期备份,防止问题发生时无法及时有效的进行数据恢复,有条件的可将操作系统一起备份;
4、建议用户在网络边界部署专业防火墙设备,对135、137、138、139、445等容易被攻击利用的端口进行封锁,加强安全策略,禁止非必要的访问通过;
5、建议用户在网内部署防病毒网关及入侵防御设备,通过防病毒网关对互联网病毒的传播进行拦截,通过入侵防御设备对包括永恒之蓝在内的漏洞攻击及常见的应用层攻击等进行防护,增强网络的安全性;
6、建议用户每隔一段时间修补终端电脑及服务器上的漏洞,及时更新操作系统和应用程序版本、杀毒软件及网内安全设备的特征库,以增强服务器及终端设备的安全性,降低被勒索病毒攻击的风险。建议用户部署漏洞扫描系统,对网内所有服务器及终端设备进行周期性扫描,及时发现系统漏洞,并进行针对性的修补。
Tips
1、第一时间断开被感染终端或服务器的网线连接,防止病毒通过网络进行传播;
2、检查和被感染终端或服务器处于同一网络的所有其他终端及服务器的情况,确保没有其他终端被感染;
3、由于勒索病毒种类繁多,且采用的加密方式多种多样,可先根据勒索病毒的界面及传播方式等判断该病毒的种类,通过互联网搜索该种类病毒是否有对应的解密工具(加密方式较简单的病毒都可借助专用解密工具进行直接解密),有解密工具的可直接下载进行解密。采用更复杂加密方式的病毒若暂时无法解密,建议单独保存被加密的重要文件,等待相关安全机构发布专用的解密工具。
4、不要支付赎金(赎金很贵且未必能恢复数据),对已感染的终端或服务器,直接进行系统的重新安装,并格式化硬盘,重装完成后将系统漏洞补丁安装至最新,恢复网络连接,并根据原有的备份文件进行数据恢复。
附录:通过电脑防火墙关闭端口的方法
1.WIN7、WIN8、WIN10系统关闭端口的方法
(1)打开控制面板-系统与安全-Windows防火墙,点击左侧“启用或关闭Windows防火墙”。
(2)选择“启用防火墙”,并点击确定
(3)点击高级设置
(4)点击入站规则,单击新建规则
(5)选择端口,点击下一步
(6)特定本地端口,如输入445,下一步
(7)选择阻止连接,下一步
(8)配置文件,全选,点击下一步
(9)名称,可以任意输入,最后点击完成即可。
2.XP系统关闭端口的方法
(1)依次打开控制面板,安全中心,Windows防火墙,选择启用
(2)点击开始,运行,输入cmd,然后依次执行下面三条命令(每输入一条命令敲击回车即可)
如果您在勒索病毒的预防与处理过程中有疑问,可以联系我们公司信息系统安全支持服务工程师:蒋欣 18142312352 。
点击下方“阅读全文”下载《通过电脑防火墙关闭端口的方法》