业内资讯

【解决方案】勒索病毒要怎么预防?

时间: 2018-12-06 15:49:20浏览次数:3213


勒索病毒解决方案  

2018 12 6

星期四


A:什么是勒索病毒?

B : 勒索病毒,是一种新型电脑病毒,主机感染勒索病毒文件后,会在主机上运行勒索程序,遍历本地所有磁盘指定类型文件进行加密操作,加密后文件无法读取。然后生成勒索通知,要求受害者在规定时间内支付一定价值的虚拟币才能恢复数据,否则会被销毁数据。从直观现象而言,勒索病毒的现象主要包含以下两种场景。

1、常规勒索病毒现象

   服务器文件被加密,例如加密成.java后缀或者其他奇怪的后缀名称,在桌面提示需要支付比特币赎金到某个账户,如果不支付将导致文件永远不可用,如下图所示:


 2、变种勒索病毒现象

   内网主机成片出现蓝屏现象,蓝屏的代码提示srv.sys驱动出现问题,如下图所示:

内网大面积主机蓝屏一般是变种类型的勒索病毒,具有很强的传播性。

   详情可参考如下链接:

http://sec.sangfor.com.cn/events/97.html


勒索病毒预防措施



1

检测和分析

建议上一些流量采集分析系统针对内网东西南北流量进行分析检测+终端检测响应系统,及时发现内网中存在的勒索病毒攻击,迅速处理,针对的进行查杀和终端隔离,避免爆发进行数据加密和资源的破坏。


2

弱口令 

避免弱口令,避免多个系统使用同一个口令,针对系统的密码在设定的时候满足复杂性要求,定期修改密码,不得有重复的。

3

应用和服务的管控限制 

终端:关闭Windows共享服务,远程桌面控制等不必要的服务。

网络:防火墙做好应用控制,关闭互联网访问。


4

漏洞管理 

定期进行漏扫,发现存在问题,及时打上补丁、修复漏洞,包含操作系统和应用系统。



5

杀毒软件

必须要有一款杀毒软件进行防护,定期扫描杀毒,确认是否存在异常风险。



6

数据备份

对重要的数据文件定期进行非本地备份,本地备份一旦出现问题全部数据不可用,推荐可以使用一些专业的备份系统,比如CDP。


7

安全意识宣传

不使用不明来历的U盘、移动硬盘等存储设备,这些很有可能会携带病毒体。

不要点击来源不明的邮件以及附件,邮件也是传播最频繁的方式之一,重视可使用一些邮件网关进行过滤。

不要接入公共网络也不允许内部网络接入来历不明外网PC,接入网络就存在风险,不明网络和不明访客PC的接入需要谨慎和管控。


变种勒索病毒解决方案


  在实际案例中有可能内网还存在着其他中了勒索病毒的主机。特别是出现蓝屏现象的内网,可能有些中了勒索病毒的主机还没有被发现,因为蓝屏一般意味着勒索病毒还没有完全的漏洞利用成功,后面可能还会出现主机蓝屏事件,会对业务系统造成极大的隐患。

  所以对于勒索病毒的防御不能只是出现一例解决一例,重装系统完事,解决已知中勒索病毒的主机是第一步,要进行持续的监视和安全隔离。根据时间的场景,分为临时和长期的解读方案。


1临时解决方案

    当病毒爆发,内网主机大量出现蓝屏现象,临时的解决方案是在交换机上过滤所有接口的135,137,139,445访问,禁止病毒在内网通过上述端口进行传播。然后通过一些安全专杀工具进行一台台主机病毒查杀”。这种方式简单粗暴有效,但是对于部分内网是需要进行445端口访问的就不可行了,接入在同一个非网管的二层交换机下面也不能实现隔离,也很难及时发现内网勒索病毒爆发的情况。

    一般来说还是建议对出现问题的主机以及同一个域中的主机进行全面的检测,发现问题就进行查杀。

2长效解决方案

   针对临时解决方案的不足,长效的解决方案需要找到内网所有的攻击源,进行病毒查杀,并进行持续性的监控。手动抓包分析的方式确定攻击源会存在速度慢、误报高的弊端,而且病毒发动攻击或者对内网的其他主机进行暴力破解可能也存在潜伏期,不一定会在抓包解读持续攻击,可以借助一些专业的流量采集分析平台来分析内网所有的流量,部署方式如下:                                                                                      每一个接入层放一台流量采集器,利用交换机的流量镜像到流量采集器,流量采集器把数据传递到流量采集分析平台进行分析,最后以直观的访问关系图和报表呈现出整个网络的安全态势,特别是对于中了勒索病毒的主机对内网其他主机爆破能够及时发现告警,部署一段时间就会有安全可视化数据。流量采集分析平台可以收集用户与用户之间的流量、内网服务器之间的流量、外网服务器之间的流量,通过分析流量可以发现内部潜伏的安全问题,如攻击事件、业务受控等,并通过梳理内部业务系统的访问关系发现违规行为、异常行为。

3通过分析日志基本确认攻击源主机

   借助流量采集分析平台分析识别用户(PC端)是否已被控制,查看风险IP自身行为,根据攻击行为、C&C通信行为查看影响业务,可以直接发现内网横向攻击行为。如果该用户通过C&C通信分析已被感染,则此IP就是跳板。 使用漏洞检测工具进行每台检测,发现问题就进行查杀。

Wannacry变种勒索病毒(主机蓝屏)处置方法
1

查看流量采集分析平台,找到失陷主机。

2

使用NSA漏洞免疫工具关闭139,445等端口或者拔掉网线。

3

使用终端检测响应系统僵尸网络查杀工具对失陷主机进行检查(杀毒时确保规则库是最新的),并隔离病毒。

4

打上MS17-010漏洞补丁(部分情况下如果缺少前置补丁可能导致MS17-010打不上,建议直接使用腾讯管家之类的工具直接更新补丁)。

https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

5

重启服务器或者PC,再查杀一次,确保没有病毒。

6

重新开启关闭的端口或者接上网线。


总结

  如果您想要预防此类问题或者面临着勒索病毒问题。请联系众志天成客服400-0636-880,我们的安全小组随时为您提供安全有效的技术支持服务!


Copyright 深圳市众志天成科技有限公司 版权所有  粤ICP备11064282号-1