一、勒索病毒簡介
最近,一種電腦勒索病毒席捲了全球幾十個國家。美國、俄羅斯、中國,歐洲國家Windows電腦受創最重。
和之前一些大面積爆發的病毒比如熊貓燒香等等不同,黑客開發這種病毒並不是爲了炫技(單地攻擊電腦的軟硬件)而是爲了索財。當電腦受到病入侵之後・電腦當中的文作會被加密,導致無法打開。
黑客會要求你提供300美元(2000元人民幣)的比特幣,纔會給你提供解鎖的密碼。支付的贖金一定要是比特幣的原因是,這種電子貨幣的賬戶不易被追蹤,更容易隱藏黑客的真實身份。
病毒的設計者特意把勃索的說明信息翻譯成了20多個國家和地區的語言版本,好讓全一世界每一箇中了病毒的人都能看懂付款信息,可見野心之大。而且如果中了病毒的計算機屬於高性能的服務器,病毒還會在這臺電腦當中植入挖礦程序,讓這臺計算機成爲生產比特幣的工具,攻擊者可謂無所不用其極,最大程度地榨取受害電腦的經濟價值。
電腦中了這種病毒之後,硬盤當中的文件會被AES+RSA4096位的算法加密。
遇到這種加密級別,目前所有家用電腦如果要暴力破解可能需要幾十萬年。所以一旦被這種病感,加密了自己電腦上的文作,白己是無論如何沒辦法爸文件解密的。如果是政府或者公共機構的重要文件被加密,那隻能恢復備份文件。
值得注意的是,這次的病毒襲擊還針對了特定的人羣,類似“精準投放。大全業的公共郵箱、高級餐廳的官網等等都是攻擊的重點對象。起初病毒會僞裝成一封標題非常吸引人的電子郵件,或者僞裝成PDF、DOC這樣的普通文檔,如果存在漏洞的電腦打開了這些鏈接或者文件,就有可能中招。
如果中招的電腦處於一個局域網當中,那麼只要一臺電腦感染病毒,其他電腦只要開機上網,馬上也會被感染。
病毒會通過像445端口這樣的文件共享和網絡打印機共享端口的漏洞展開攻擊。
二、服務器緊急防範措施
1.立即組織內網檢測,查找所有開放445SMB服務端口的終端和服務器,一旦發現中毒機器,立即斷網處置,目前看來對硬盤格式化可清除病毒。
2.一旦發現電腦中毒,立即斷網
3.啓用並打開“ Windows防火牆”,進入“高級設置”,在入站規則裏禁用“文件和打印機共享”相關規則。關閉UDP135、445、137、138、139端口關閉網絡文件共享
4.嚴格禁止使用U盤、移動硬盤等可執行擺渡攻擊的設備。
5.儘快備份電腦中的重要文件資料。
6.及時更新操作系統和應用程序最新的版本。
7.一般情況下數據庫服務器升級MS17-010補丁不會對1433端口關閉,Sqlserver i默認使用的是1433端口,有個別情況可能會關閉1433端口,情況不明
請參考第六條
三、工作站防範措施
目前已知的是, Windows10操作系統只打開了自動更新,就不會有中毒的風險而目前國內大量使用的 Windows7甚至 Windows XP電腦相對比較高危。微軟目前已經爲所有的 Windows系統景急發佈了系統補丁。另外,像445這樣的高危端口,一般的家用電腦也最好關閉掉。
1.打開控制面板點擊防火牆
2.點擊“高級設置
3.先點擊入貼規則再點擊新建規則。
4.勾中“端口”,點擊“協議與端口
5.勾選“特定本地端口”,填寫445,點擊下一步
6.點擊阻止鏈接",一直下一步,並給規則命名後,就可以了
還是那句話,再好的殺毒軟件也不如一個好的安全意識,在這個信息化時代,系統漏洞一個補丁就能間痛定但人們安全意識缺失這個漏洞,不知道什麼時候才能被堵上。
四、360殺毒方案
勒索病毒”全球爆發,通過蠕蟲式傳播在企業、校園內網大面積感染,一臺中招,一片遭殃!本次勒索病毒是在週五晚上爆發,星期一(5月15日)上班的企業將面臨重大風險!
360安全衛士能哪全面免疫和防禦勒索病毒,安裝360安全衛士的用戶,這次是基本不受勒索病毒影響。
針對未安裝360安全衛士的用戶,我們緊急推出360安全衛士離現救災可以幫助企業辦公電腦應對此次勒索病毒的攻擊。
應對勒索病毒,週一開機曹作指南:
一、準備一個U盤或移動硬盤,週一上班前,可以在家裏的安全網絡環境。
二、到公司後,先拔掉辦公電腦的網線,關掉無線網絡開關,然後再開機。
三、使用準備好的U盤或移動硬盤插入辦公電腦,安裝360安全衛士【離線救災版
四、360安全衛士【離線救災版】的NSA武器庫免疫工具會自動運行,並檢測您的電腦是否存在漏洞。如您當前系統沒有安裝漏補丁,
五、修復漏洞過程中,請耐心等候,一般要3-5分鐘。
六、修復成功後,會彈窗提示您。請您重啓電腦,以便修復操作徹底生效
七、重啓電腦後、您可以通過桌面的【勒索病毒救災】快捷方式再漢運行NSA防禦工具,確保您的系統已經修復完成。
補充說明:針對部分特殊系統(例如 GHOST精簡系統),由於系統本身被人爲的修改導致無法正常安裝本次的漏洞修復程序,出於安全考慮,工具會直接爲您關閉共享所需的網絡端口和系統服務。
五、返向操作
在已安裝好補丁並確認安全,且又必須要打開的端口的情況下,可以進行返向操作,步驟如下:
1.打開控制面板點擊防火牆
2.點擊“高級設置.
3.先點擊“入站規則”,然後選擇你新建那條規則。
4.再點擊右則的“禁用規則”。
5.此時這條規則前面的綠色打溝圖形消失。
操作完成後,已關閉的端口就被從新打開。
六、網絡防範措施
1.身份鑑別包括主機和應用兩個方面。
主機操作系統登錄、數據庫登陸以及應用系統登錄均必須進行身份驗證。過於簡單的標識符和口令容易被窮舉攻擊破解。同時非法用戶可以通過網絡進行窈聽,從而獲得管理員權限,可以對任何資源非法訪問及越權操作。因此必須提高用戶名/口令的複雜度,且防止被網絡聽:同時應考慮失敗處理機制。
2.訪問控制
訪問控制包括主機和應用兩個方面。
訪問控制主要爲了保證用戶對主機資源和應用系統資源的合法使用。非法用戶可能企圖假冒合法用戶的身份進入系統,低權限的合法用戶也可能企圖執行高權限用戶的操作,這些行爲將給主機系統和應用系統帶來了很大的安全風險。用戶必須擁有合法的用戶標識符,在制定好的訪問控制策略下進行操作,杜絕越權非法操作。
3.系統審計
系統審計包括主機審計和應用審計兩個方面。
對於登陸主機後的操作行爲則要進行主機審計。對於服務和重要主機需要進行嚴格的行爲控制,對用戶的行爲、使用的命令等進行必要的記錄審計,便於日後的分析、調查、取證,規範主機使用行爲。而對於應用系統同樣提出了應用審計的要求,即對應用系統的使用行爲進行審計。重點審計應用層信息,和業務系統的運轉流程息息相關。
能夠爲安全事件提供足夠的信息,與身份認證與訪問控制聯繫緊密,爲相關事件提供審計記錄。
4.入侵防範
主機操作系統面臨着各類具有針對性的入侵威脅,常見操作系統存在着各種安全漏洞,並且現在漏洞被發現與漏洞被利用之間的時間差變得越來越短,這就使得操作系統本身的安全性給整個系統帶來巨大的安全風險,因此對於主機操作系統的安裝,使用、維護等提出了需求,防範針對系統的入侵行爲。
5.惡意代碼防範
病毒、蟲等惡意代碼是對計算環境造成危害最大的隱思,當前病毒威助非常嚴,別是蟲病的爆發,會立刻向其他子網迅速蔓延,發動網絡攻擊和數據竊密。大量佔據正常業務十分有限的帶寬,造成網絡性能嚴重下降、服務器崩潰甚至網培通信中斷,信息損壞或泄需。嚴重影響正常業務開展。因此必須部署惡意代碼防範軟件進行防禦。同時保持惡意代碼庫的及時更新。