勒索病毒应急措施及防护方案优质PPT.pptx
- 文档编号:14803793
- 上传时间:2022-10-25
- 格式:PPTX
- 页数:19
- 大小:8.53MB
勒索病毒应急措施及防护方案优质PPT.pptx
《勒索病毒应急措施及防护方案优质PPT.pptx》由会员分享,可在线阅读,更多相关《勒索病毒应急措施及防护方案优质PPT.pptx(19页珍藏版)》请在冰豆网上搜索。
勒索病毒对用户造成的资金损失甚至远超当年的“熊猫烧香”、”CHI”等病毒2019上半年勒索病毒攻击态势2019上半年,勒索病毒的感染量一直稳定,累计被攻击的计算机超过250万台,时间分布上以2019年1月份最为活跃,2月到6月整体较为平稳,近期略有上升趋势。
2019上半年,勒索病毒的主要攻击方式依然以弱口令爆破攻击为主,其次为通过海量的垃圾邮件传播,而利用高危漏洞、漏洞工具包主动传播的方式紧随其后,整体攻击方式呈现多元化的特征。
2019上半年勒索病毒攻击态势勒索病毒产业链勒索者勒索病毒作者中毒受害者传播渠道商解密代理制作传播传播勒索病毒攻击合作分成分成缴纳较低赎金缴纳较高赎金合作分成病毒勒索五大形式1.数据加密勒索这种方式是当前受害群体最多、社会影响最广,勒索犯罪中最为活跃的表现形式,该方式通过加密用户系统内的重要资料文档,数据,再结合虚拟货币实施完整的犯罪流程。
以GandCrab为代表的勒索集团当属该类勒索产业中的佼佼者,非法敛财20亿美元2.系统锁定勒索该形式勒索与数据加密勒索有着极大的相似性。
这种方式的攻击重点不是针对磁盘文件,而是通过修改系统引导区,篡改系统开机密码等手段将用户系统锁定,导致用户无法正常登录到系统。
通过该模式实施的勒索在电脑和安卓手机系统也较为常见。
3.数据泄漏勒索该类型勒索通常情况针对企业实施,黑客通过入侵拿到企业内相关机密数据,随后敲诈企业支付一定金额的赎金,黑客收到赎金后称会销毁数据,否则将进入撕票流程,在指定时间将企业机密数据公开发布,以此要挟企业支付酬金。
4.诈骗恐吓式勒索此类型勒索与企业数据泄露造成的勒索有着相似点,针对个人用户隐私发起攻击。
不同点为攻击者手中根本没有隐私数据,他们通过伪造、拼接与隐私有关的图片、视频、文档等等恐吓目标实施诈骗勒索。
5.掩盖入侵真相在部分涉及各行业重要数据,各国家机密数据的染毒场景中,部分黑客组织在实施APT攻击之后,为消除痕迹,会进一步投递破坏性的勒索病毒,将用户资料加密,勒索病毒的加密机制,让这些攻击行动变得较为常见,从而有利于黑客组织掩盖真实攻击意图。
GandCrabGandCrab勒索病毒首次出现于2018年1月,是国内首个使用达世币(DASH)作为赎金的勒索病毒,也是2019上半年是最为活跃的病毒之一。
该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件等各种方式传播。
GlobeImposter2017年5月,勒索病毒Globelmposter首次在国内出现。
Globelmposter攻击手法都极其丰富,通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具。
CrysisCrysis勒索病毒从2016年开始具有勒索活动,加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀,例:
“id-编号.bip”,该病毒通常使用弱口令爆破的方式入侵企业服务器SodinokibiSodinokibi勒索病毒首次出现于2019年4月底,由于之后GandCrab停止运营事件,该病毒紧跟其后将GandCrab勒索家族的多个传播渠道纳入自身手中。
该病毒目前在国内主要通过web相关漏洞和海量的钓鱼邮件传播StopStop勒索病毒家族在国内主要通过软件捆绑、垃圾邮件等方式进行传播,加密时通常需要下载其它病毒辅助工作模块。
Stop勒索病毒会留下名为_readme.txt的勒索说明文档,勒索980美元,并声称72小时内联系病毒作者将获得50%费用减免ParadiseParadise勒索病毒最早出现于2018年7月,该病毒勒索弹窗样式与Crysis极为相似,勒索病毒加密文件完成后将修改文件名为以下格式:
原文件名_随机字符串_邮箱.随机后缀,并留下名为Instructionswithyourfiles.txt或#_INFO_you_FILE_#.txt的勒索说明文档。
ClopClop勒索病毒使用RSA+RC4的方式对文件进行加密,与其他勒索病毒不同的是,Clop勒索病毒部分情况下携带了有效的数字签名,数字签名滥用,冒用以往情况下多数发生在流氓软件,窃密类木马程序中。
SCarabScarab索病毒主要利用Necurs僵尸网络进行传播,在国内也有发现通过RDP过口令部分变种感染后外观展现形态差异较大,例如今年3月份我国部分企业感染的ImmortalLock(不死锁)病毒则为Scarab家族在国内活跃的一个变种。
WananCryWannaCry于2017年5月12日在全球范围大爆发,引爆了互联网行业的“生化危机”。
借助“永恒之蓝”高危漏洞传播的WannaCry在短时间内影响近150个国家,致使多个国家政府、教育、医院、能源、通信、交通、制造等诸多关键信息基础设施遭受前所未有的破坏MazeMaze(迷宫)勒索病毒也叫ChaCha勒索病毒,擅长使用FalloutEK漏洞利用工具通过爆破后投毒。
该家族变种较多,网页挂马等方式传播。
被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破解)、盗版影视作品下载,该病毒的特点之一是自称根据染毒机器的价值来确认勒索所需的具体金额。
常见的勒索病毒勒索病毒攻击手段弱口令攻弱口令攻击击口口令令爆爆破破攻攻击击依依然然是是当当前前最最为为流流行行的的攻攻击击手手段段,使使用用过过于于简简单单的的口口令令或或者者已已经经泄泄露露的口令是造成的口令是造成设备设备被攻陷的最常被攻陷的最常见见原因。
原因。
利用系利用系统统与与软软件漏洞攻件漏洞攻击击漏洞攻防一直是安全攻防的最前沿漏洞攻防一直是安全攻防的最前沿阵阵地,地,利用漏洞利用漏洞发发起攻起攻击击也是最常也是最常见见的安全的安全问题问题之一。
之一。
“永恒之永恒之蓝蓝”工具就是其中利用工具就是其中利用漏洞的一个典型代表,其被用来漏洞的一个典型代表,其被用来传传播播WannaCry勒索病毒。
勒索病毒。
破解破解软软件与激活工具件与激活工具破破解解软软件件与与激激活活工工具具通通常常都都涉涉及及到到知知识识产产权权侵侵权权问问题题,一一般般是是由由个个人人开开发发者者开开发发与与发发布布,缺缺少少有有效效的的管管理理,其其中中鱼鱼龙龙混混杂杂,也是也是夹带夹带木木马马病毒的重灾区。
病毒的重灾区。
钓鱼钓鱼和垃圾和垃圾邮邮件件“钓钓鱼鱼邮邮件件”攻攻击击是是最最常常见见的的一一类类攻攻击击手手段段,在在勒勒索索病病毒毒传传播播中中也也被被大大量量采采用用。
通通过过具具有有诱诱惑惑力力的的邮邮件件标标题题、内内容容、附附件件名名称称等等,诱诱骗骗用用户户打打开开木木马马站站点点或或者者带带毒毒附附件,从而攻件,从而攻击击用用户计户计算机。
算机。
网站挂网站挂马马攻攻击击挂挂马马攻攻击击一一直直以以来来是是黑黑客客们们热热衷衷的的一一种种攻攻击击方方式式,常常见见的的有有通通过过攻攻击击正正常常站站点点,插插入入恶恶意意代代码码实实施施挂挂马马,也也有有自自己己搭搭建建恶恶意意站点站点诱骗诱骗用用户访问户访问的。
的。
通通过过U盘盘感染感染U盘盘随意使用随意使用U盘盘拷拷备备文件,内外网混用文件,内外网混用等,易于等,易于传传播病毒播病毒病毒入侵的本质“网络杀伤链”勒索病毒入侵过程侦查跟踪武器构建载荷投送漏洞利用安装植入命令与控制目标达成勒索病毒中毒特征一、业务系统无法访问勒索病毒的攻击不再局限于加密核心业务文件;
转而对企业的服务器和业务系统进行攻击,感染企业的关键系统,破坏企业的日常运营。
二、二、电脑电脑桌面被桌面被篡篡改改被感染勒索病毒后,最明被感染勒索病毒后,最明显显的的特征是特征是电脑电脑桌面桌面发发生明生明显变显变化,化,即:
桌面通常会出即:
桌面通常会出现现新的文本新的文本文件或网文件或网页页文件,文件,这这些文件用些文件用来来说说明如何解密的信息,同明如何解密的信息,同时时桌面上桌面上显显示勒索提示信息及解示勒索提示信息及解密密联联系方式。
系方式。
三、文件后三、文件后缀缀被被篡篡改改感感染染勒勒索索病病毒毒后后,另另外外一一个个典典型型特特征征是是:
办办公公文文档档、照照片片、视视频频等等文文件件的的图图标标变变为为不不可可打打开开形形式式,或或者者文文件件后后缀缀名名被被篡篡改。
改。
(一)隔离中毒主机当确认已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;
访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
1物理隔离物理隔离常用的操作方法是断网和关机。
断网主要操作步骤包括:
拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
2访问控制访问控制常用的操作方法是加策略和修改登录密码。
加策略主要操作步骤为:
在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;
避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。
(二)排查业务系统在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
评估风险,及时采取对应的处置措施,避免更大的危害。
防止病毒继续感染其他服务器,造成无法估计的损失。
(三)联系专业人员在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。
勒索病毒自救措施
(一)使用移动存储设备当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。
勒索病毒通常会对感染电脑上的所有文件进行加密,所以当插上U盘或移动硬盘时,也会立即对其存储的内容进行加密,从而造成损失扩大。
从一般性原则来看,当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。
所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用U盘、移动硬盘等设备。
(二)读写中招主机上的磁盘文件当确认服务器已经被感染勒索病毒后,轻信网上的各种解密方法或工具,自行操作。
反复读取磁盘上的文件后反而降低数据正确恢复的概率。
很多流行勒索病毒的基本加密过程为:
1)首先,将保存在磁盘上的文件读取到内存中;
2)其次,在内存中对文件进行加密;
3)最后,将修改后的文件重新写到磁盘中,并将原始文件删除。
也就是说,很多勒索病毒在生成加密文件的同时,会对原始文件采取删除操作。
理论上说,使用某些专用的数据恢复软件,还是有可能部分或全部恢复被加密文件的。
而此时,如果用户对电脑磁盘进行反复的读写操作,有可能破坏磁盘空间上的原始文件,最终导致原本还有希望恢复的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 勒索 病毒 应急 措施 防护 方案