勒索病毒簡介
自2017年5月WannaCry(永恒之藍勒索蠕蟲)大規模爆發以來,勒索病毒已成為對政企機構和網民直接威脅最大的一類木馬病毒。近期爆發的Globelmposter、GandCrab、Crysis等勒索病毒,攻擊者更是将攻擊的矛頭對準企業伺服器,并形成産業化;而且勒索病毒的品質和數量的不斷攀升,已經成為政企機構面臨的最大的網絡威脅之一。即使安裝了防毒軟體,即使防護再強,如果企業被攻擊,已經中了勒索病毒,應如何沉穩應對?
攻擊原理分析
黑客開發這種病毒并不是為了炫技(單地攻擊電腦的軟硬體)而是為了索财。當電腦受到病入侵之後・電腦當中的文作會被加密,導緻無法打開。 黑客會要求你提供300美元(2000元人民币)的比特币,才會給你提供解鎖的密碼。支付的贖金一定要是比特币的原因是,這種電子貨币的賬戶不易被追蹤,更容易隐藏黑客的真實身份。
病毒的設計者特意把勃索的說明資訊翻譯成了20多個國家和地區的語言版本,好讓全一世界每一個中了病毒的人都能看懂付款資訊,可見野心之大。而且如果中了病毒的計算機屬于高性能的伺服器,病毒還會在這台電腦當中植入挖礦程式,讓這台計算機成為生産比特币的工具,攻擊者可謂無所不用其極,最大程度地榨取受害電腦的經濟價值。電腦中了這種病毒之後,硬碟當中的檔案會被AES+RSA4096位的算法加密。遇到這種加密級別,目前所有家用電腦如果要暴力破解可能需要幾十萬年。是以一旦被這種病感,加密了自己電腦上的文作,白己是無論如何沒辦法把檔案解密的。如果是政府或者公共機構的重要檔案被加密,那隻能恢複備份檔案。
值得注意的是,這次的病毒襲擊還針對了特定的人群,類似“精準投放。大全業的公共郵箱、進階餐廳的官網等等都是攻擊的重點對象。起初病毒會僞裝成一封标題非常吸引人的電子郵件,或者僞裝成PDF、DOC這樣的普通文檔,如果存在漏洞的電腦打開了這些連結或者檔案,就有可能中招。
如果中招的電腦處于一個區域網路當中,那麼隻要一台電腦感染病毒,其他電腦隻要開機上網,馬上也會被感染。病毒會通過像445端口這樣的檔案共享和網絡列印機共享端口的漏洞展開攻擊。
如何判斷是否中了勒索病毒
1、電腦桌面被篡改
伺服器被感染勒索病毒後,最明顯的特征是電腦桌面發生明顯變化,即:桌面通常會出現新的文本檔案或網頁檔案,這些檔案用來說明如何解密的資訊,同時桌面上顯示勒索提示資訊及解密聯系方式,通常提示資訊英文較多,中文提示資訊較少。下面為電腦感染勒索病毒後,幾種典型的桌面發生變化的示圖。
2、檔案字尾被篡改
檔案字尾名被篡改或者辦公文檔、照片、視訊等檔案的圖示變為不可打開形式。一般來說,檔案字尾名會被改成勒索病毒家族的名稱或其家族代表标志,如:GlobeImposter家族的字尾為.dream、.TRUE、.CHAK等;Satan家族的字尾.satan、sicck;Crysis家族的字尾有.ARROW、.arena等。
下面為電腦感染勒索病毒後,幾種典型的檔案字尾名被篡改或檔案圖示變為不可打開的示意圖。
伺服器緊急防範措施
1.斷網處理,防止勒索病毒内網傳播感染,造成更大的損失
2.查找樣本和勒索相關資訊,确認是哪個勒索病毒家族的樣本
3.确認完勒索病毒家族之後,看看是否有相應的解密工具,可以進行解密
4.進行溯源分析,确認是通過哪種方式傳播感染的進來的,封堵相關的安全漏洞
5.做好相應的安全防護工作,以防再次感染