勒索病毒防护
作者:互联网
需求背景
勒索病毒,是一种新型电脑病毒,主机感染勒索病毒文件后,会在主机上运行勒索程序,遍历本地所有磁盘指定类型文件进行加密操作,加密后文件无法读取。然后生成勒索通知,要求受害者在规定时间内支付一定价值的虚拟币才能恢复数据,否则会被销毁数据。从直观现象而言,勒索病毒的现象主要包含以下两种场景。
1、服务器文件被加密,例如加密成.java后缀或者其他奇怪的后缀名称,在桌面提示需要支付比特币赎金到某个账户,如果不支付将导致文件永远不可用,如下图所示:
2、内网主机成片出现蓝屏现象,蓝屏的代码提示srv.sys驱动出现问题,如下图所示:
注意:内网大面积主机蓝屏一般是变种类型的勒索病毒,具有很强的传播性
勒索病毒的感染过程
1. 首先,黑客通过 SMB 、 RDP 等口令暴力破解、勒索常用端口利用、以及服务器漏洞等的利用想方设法让勒索病毒感染用户主机 2. 当主机感染了勒索病毒文件之后,会在主机上运行勒索程序,同时黑客也会尝试利用 SMB 、 RDP 手动进行横向传播,感染更多的主机 3. 接着,当勒索程序在一台或者多台主机上被运行后,勒索病毒会遍历本地所有磁盘,对指定类型的文件进行加密,加密后的文件无法再被读取 4. 生成勒索信息文件 ,告知受害者这台机器已经中了勒索病毒了,并要求受害者在规定时间内支付一定价值的比特币才能恢复数据,否则赎金会加倍或者不再提供解密 5. 加密后数据正常无法自己解密,因为勒索采用的是高强度非对称加密方式,受害者在没有私钥情况下无法恢复文件
勒索病毒的防护措施
1. 事前加固:勒索病毒风险评估,精准评估勒索病毒进入点风险,配置勒索病毒专项策略,全面防护勒索风险 ● 2. 事中积极防御:通过配置的勒索病毒专项策略,全面防护勒索风险 ● 3. 事后快速响应与处置:隔离识别已失陷的主机,专项工具进行杀毒
事前加固
梳理资产暴露面,屏蔽勒索入侵进入点,对勒索常用端口、勒索常用漏洞、弱口令做事前的识别,并给出对应处理建议
事中防御
1. 持勒索专项防护策略自动生成,全面防护勒索黑客攻击。配置: 【 运行状态 】-【 勒索专项防护 】-【 勒索防护配置 】 2. 通过安全策略深度检测入侵手段,对抗隐蔽勒索攻击,通过 web 应用防护、漏洞防护、内容安全、慢速爆破检测对勒索病毒做全面入侵防御,可根据勒索分析的日志展示,对勒索做进一步详细分析
事后快速响应与处置
1. 联动 EDR 查杀,隔离失陷资产,快速处置勒索病毒 2. 根据勒索分析的日志展示,对勒索做进一步详细分析, 功能: 【 勒索专项 防护 】 
3.勒索病毒分析,勒索安全事件分析入口:在【用户安全】-【点击某个勒索事件】-【处置恶意文件】
4.勒索病毒分析,勒索安全事件分析入口:在【用户安全】-【点击某个勒索事件】-【处置恶意文件】
标签:文件,加密,主机,防护,勒索,病毒 来源: https://blog.csdn.net/a2788656708/article/details/122310431