「撒旦」勒索病毒沖著你來了,怕不怕?
近期,我們發現市面上勒索病毒的活躍程度不減。一款稱為「撒旦(Satan)」的勒索病毒新變種雖然已於前一段時間被發現,但仍然對不少企業和機構造成了影響。
新的病毒變種除了使用「永恆之藍」漏洞攻擊工具外,在感染傳播方式上也有了非常大的改進,目前如果僅僅修復「永恆之藍」漏洞已不能防禦有效。最早的撒旦(Satan)勒索病毒於2017年初被外媒曝光,在一年多的時間內已發展成為對企業用戶威脅最大的勒索病毒之一。
與以往主要通過「永恆之藍」漏洞進行攻擊不同,撒旦(Satan)勒索病毒最新變種還攜帶了包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss默認配置漏洞(CVE-2010-0738)、Put任意上傳文件漏洞、Weblogic WLS 組件漏洞(CVE-2017-10271)在內的多個高危漏洞攻擊模塊,以及Tomcat web管理後台弱口令爆破,令病毒感染擴散能力和影響範圍顯著增強。
根據我們掌握的情況,不少勒索病毒感染事件產生的原因,是企業或機構的網路安全措施缺失或過於簡陋,如果能夠部署較為完善的防護手段,勒索病毒並非無法防禦。由於勒索病毒的特殊性,一旦感染,目前的技術手段無法保證能夠完全恢復,因此除了安全防護外,應當做好數據備份,儘可能在發生此類事件後挽回損失。
我們再次提醒廣大用戶,目前針對勒索病毒仍然以防為主,由於目前大部分勒索病毒加密後的文件都無法解密,因此日常防範措施格外重要。除了定期對重要文件、重要業務數據做好非本地備份外,盡量關閉不必要的埠、不必要的文件共享,以及採用高強度的密碼,防止被黑客暴力破解。
2018年勒索病毒仍然是Windows終端安全最大的安全威脅之一,它嚴重影響受害者的正常業務,其中感染方式也在不斷的更新中,各類安全風險也一直存在。
這一年來勒索病毒的變化
企業伺服器成重災區
伺服器一般數據資產價值要大大高於個人PC,雖然感染的絕對量沒有個人PC用戶多,但造成的損失和影響範圍卻遠高於個人PC用戶。所以對於攻擊者來說,攻擊伺服器似乎是一種「事半功倍」的牟利方法。
對中小企業影響大
據數據顯示,在受到勒索病毒攻擊的伺服器中,互聯網,工業企業,對外貿易與批發零售,政府機構合計佔比超過一半。其中尤以中小企業與中小互聯網企業最為突出,企業在網路安全方面投入不足,而產品銷售維護又嚴重依賴互聯網信息系統,在中招之後只能選擇支付贖金解決,這也進一步刺激了黑客的攻擊行為。
攻擊常態化 變種花樣多
除了WannaCry、Petya等感染規模巨大的勒索病毒之外,在這一年中,其他勒索病毒逐漸呈現出常態化攻擊趨勢:變種頻出,花樣繁多。
製造門檻降低
越來越多的黑客想從中分一杯羹,因此慢慢出現了使用PHP、Python、Powershell等語言編寫的勒索病毒,甚至另一種簡單易用的腳本語言——AutoIt語言也被發現用於編寫一種名為CryptoWire的勒索病毒,從趨勢上來看勒索病毒的「技術准入門檻」越來越低,呈現框架化的態勢,甚至可以一鍵生成。
可議價 少見一刀切
從去年下半年開始,勒索病毒漸漸不再「不付贖金就撕票」那麼直接粗暴,而是與受害者通過郵件或通訊軟體進行「討價還價」。WannaCry事件前後,攻擊者一般都會開出3個比特幣的高額贖金。現在則一般為0.8個比特幣,約合500美金左右。
病毒洶洶來襲,企業如何處置?
確保安全最優先的方式就是預防,我們建議企業用戶儘快檢查補丁安裝情況,未安裝MS17-010漏洞補丁請儘快安裝補丁。
可以利用工具掃描一下伺服器的漏洞和補丁情況。
除此之外,還可以從伺服器、網路環境、應用系統等三個層面進行安全風險檢查與加固。
1、伺服器層面
避免弱口令,使用強口令,避免多系統使用同一口令;及時安裝漏洞補丁;關閉Windows共享服務、遠程桌面控制等不必要的服務;安裝防病毒、終端安全管理軟體,並及時更新將病毒庫。
2、網路環境層面
做好安全區域隔離工作,尤其針對重要業務系統及核心資料庫,應該設置獨立的安全區域;做好區域邊界的安全防禦,嚴格限制重要區域的訪問許可權並關閉telnet、snmp等不必要、不安全的服務。
3、應用系統層面
做好應用系統安全滲透測試與加固工作,保障應用系統自身安全可控,對業務系統及數據進行備份,並驗證備份系統及備份數據的可用性,一旦主系統遭受攻擊,保障備份業務系統可以立即啟用;同時,做好主系統與備份系統的安全隔離工作,避免兩系統同時被感染、被攻擊。
萬一不幸已經中招了呢?對於已被勒索病毒感染的用戶,首要任務是避免勒索病毒在內網中進一步傳播,可以採取以下措施:
1、隔離被感染區域與其他安全域的連接
2、對被感染伺服器區域的伺服器進行漏洞排查
3、增強業務系統主機的賬號密碼強度,防止密碼爆破
4、伺服器數據進行橫向移植,重新搭建全新平台
針對未來可能會出現的變種病毒及攻擊工具,安全狗會持續跟蹤,實時更新防護規則,請用戶把系統補丁更新打開並安裝相應的安全產品;針對重要文件數據的完整性、可用性以及業務連續性,還需要採取主動的保護措施,以防感染病毒造成更大的損失。
※追問:加密貨幣交易所的安全問題解決不掉嗎?
※一次內網入侵事件的復盤還原
TAG:安全狗 |