數(shù)據加密|圖紙加密|信息加密|文檔加密-Wonder Tech-上海騰赫信息科技有限公司

勒索病毒(Ransomware)與其他病毒最大(dà)的不同在于感染手法及中毒的方式。它利用計(jì)算(suàn)機的一些(xiē)功能給系統上(shàng)了一把“鎖“，或者對磁盤上(shàng)的文件進行(xíng)加密，從而對信息的系統的可(kě)用性造成巨大(dà)影(yǐng)響。然而，不同于其他的破壞性病毒，勒索病毒要求受害者繳納贖金來(lái)恢複系統。

勒索病毒在傳播和(hé)感染方面與一般的計(jì)算(suàn)機病毒沒有(yǒu)任何區(qū)别，主要從以下幾個(gè)方向去感染目标計(jì)算(suàn)機系統。

勒索病毒感染目标計(jì)算(suàn)機系統的五個(gè)方向

1. 系統漏洞

與早期沖擊波病毒利用了Windows RPC/DCOM漏洞攻擊了世界範圍內(nèi)絕大(dà)多(duō)數(shù)的Windows系統類似，Wannacry勒索病毒利用了永恒之藍(lán)(MS17-010)在全球範圍內(nèi)迅速傳播。

2. 應用漏洞

病毒借用公開(kāi)的利用程序對存在漏洞的應用系統攻擊，将自身的惡意代碼運行(xíng)在操作(zuò)系統，例如Weblogic反序列化漏洞、Struts2表達式注入漏洞。另一類需要人(rén)工或者自動化的工具挖掘未公開(kāi)的漏洞來(lái)攻擊應用系統，運行(xíng)病毒程序。

3. 口令、令牌管理(lǐ)不當，應用配置不當等

例如，如果系統管理(lǐ)員賬号的口令強度太弱，攻擊者就可(kě)以使用自動化工具暴力猜測密碼，進而通(tōng)過開(kāi)放的RDP服務(遠程桌面服務)直接管理(lǐ)服務器(qì)，注入惡意程序。

4. 社會(huì)工程學

利用人(rén)的弱點、習慣，結合各類工具漏洞、技(jì)術(shù)手段誘使受害者洩露某些(xiē)機密或者運行(xíng)某些(xiē)惡意程序。

無論是基于“鎖”還(hái)是基于加密的勒索病毒，它所利用的技(jì)術(shù)和(hé)機制(zhì)均是出于安全目的設計(jì)的，在不知曉密鑰/密碼信息的前提去破譯其中的內(nèi)容，均存在一定的技(jì)術(shù)和(hé)時(shí)間(jiān)成本。除非攻擊者願意提供相應的敏感信息，被勒索病毒所綁架的數(shù)據基本上(shàng)無法進行(xíng)恢複，從而造成嚴重的數(shù)據丢失。在缺少(shǎo)備份文件的情況，它會(huì)導緻整個(gè)系統完全癱瘓甚至報廢。

5. 勒索病毒對企業數(shù)據安全的沖擊

随着信息技(jì)術(shù)的進步，企業在運營過程中對ERP、CRM、OA等智能辦公系統的核心數(shù)據的依賴性越來(lái)越高(gāo)。所謂“三分技(jì)術(shù)、七分管理(lǐ)、十二分數(shù)據”，充分說明(míng)了數(shù)據在信息化系統中的核心地位和(hé)作(zuò)用。然而，肆意的勒索病毒成為(wèi)企業數(shù)據安全的噩夢。

2017年，美國醫(yī)藥巨頭默克集團(Merck)遭受嚴重的勒索病毒攻擊，在銷售方面造成的損失超過1.35億美元，而其他損失超過1.75億美元，總計(jì)直接損失3.1億美元。全球最大(dà)的船(chuán)運公司馬士基集團(Maersk)遭受NonPetya勒索病毒攻擊，造成超過4000台業務服務器(qì)、45000台業務終端被惡意加密勒索，迫使業務一度暫停，造成超過3億美元直接損失。與此同時(shí)，全球最大(dà)的快遞運輸公司聯邦快遞(Fedex)也遭受同類勒索病毒攻擊，造成累計(jì)3億美元的直接損失。除此之外，烏克蘭航空(kōng)、利潔時(shí)集團、美國印第安納州州立醫(yī)院等大(dà)量企業均遭受勒索病毒侵害，造成不同程度經濟、業務損失。

放眼國內(nèi)，随着去年WannaCry病毒爆發，勒索病毒逐步開(kāi)始被人(rén)們所熟知，但(dàn)是在面臨嚴重的企業數(shù)據安全挑戰的時(shí)候大(dà)家(jiā)仍然無動于衷，導緻遭受攻擊後追悔莫及。國內(nèi)諸多(duō)企事業單位、上(shàng)市公司、大(dà)中型民營企業均遭受嚴重的勒索病毒攻擊，且相應案例仍在持續上(shàng)升，損失也越來(lái)越大(dà)。我們通(tōng)過大(dà)量勒索病毒攻擊事件應急響應處置後，總結出如下幾點最容易感染勒索病毒的安全隐患：

業務便利，內(nèi)部辦公系統安全措施不到位情況下直接對外開(kāi)放;

運維方便，将內(nèi)部系統的控制(zhì)服務、數(shù)據庫管理(lǐ)端口對外開(kāi)放;

操作(zuò)系統管理(lǐ)、數(shù)據庫管理(lǐ)、應用服務、業務系統存在弱口令;

操作(zuò)系統及應用長期不更新，不打補丁，不裝殺毒軟件;

辦公網絡與服務器(qì)處在同網段，無任何隔離措施;

敏感服務器(qì)無任何安全防護系統;

無數(shù)據備份措施或同機備份;

服務器(qì)上(shàng)U盤等介質亂插;

無專職網絡管理(lǐ)員。

勒索病毒趨勢

勒索病毒自最早在1989年發現的AIDS木馬病毒已經逐步演變成大(dà)量可(kě)自我複制(zhì)、主動提權、內(nèi)網傳播等高(gāo)級功能的病毒，尤其2012年後，相應的變種數(shù)量逐年增加，逐步形成巨大(dà)黑(hēi)色産業鏈。安恒信息研究院研究員通(tōng)過大(dà)量統計(jì)分析發現，大(dà)量樣本均利用了較近爆發的Windows系統嚴重安全漏洞，能夠自動感染、傳播，對服務器(qì)、工作(zuò)終端均有(yǒu)嚴重危害。

專業測評機構根據近幾年全球勒索病毒對企業數(shù)據影(yǐng)響造成的損失測算(suàn)，2019年全球因勒索病毒損失将達到115億美元，這個(gè)數(shù)字相當于一個(gè)中等發達水(shuǐ)平國家(jiā)全年GDP，損失之大(dà)，碾壓其他計(jì)算(suàn)機病毒。企業信息化作(zuò)為(wèi)企業可(kě)持續性發展的基本條件，其重要的涉及生(shēng)産制(zhì)造、研發創新、營銷市場(chǎng)、财務人(rén)力、采購審計(jì)等CRM、ERP、OA等辦公系統都将是衆矢之的，一旦感染，損失會(huì)非常慘重。

勒索病毒防範措施與應急處置

首先要做(zuò)的是事前的防護和(hé)預警，在勒索病毒發作(zuò)之時(shí)，一切為(wèi)時(shí)已晚。可(kě)以從以下幾個(gè)方面進行(xíng)勒索病毒安全防範：

1. 應用程序方面

進行(xíng)數(shù)據備份時(shí)，至少(shǎo)應該做(zuò)到異機備份，避免服務器(qì)在遭受攻擊後系統完全癱瘓無法恢複。最好能有(yǒu)多(duō)個(gè)備份，包括熱備注、災備等。

定期關注相關應用程序廠商的公告和(hé)漏洞提醒，在測試後及時(shí)更新，避免攻擊者通(tōng)過Xday漏洞攻擊服務器(qì)。

定期對應用程序進行(xíng)滲透測試等，确保應用程序的安全性。如果是第三方軟件，可(kě)以延長測試周期。

對應用程序內(nèi)的口令進行(xíng)管理(lǐ)，同時(shí)做(zuò)好應用程序審計(jì)信息的保存。

2. 操作(zuò)系統方面

對操作(zuò)系統進行(xíng)加固檢查。

及時(shí)更新關鍵操作(zuò)系統補丁。

定期使用漏洞掃描工具對操作(zuò)系統進行(xíng)檢測，發現潛在的已知或未知漏洞

保存相關審計(jì)數(shù)據

安裝終端防護軟件

網絡安全解決方案

部署防火(huǒ)牆、應用防火(huǒ)牆、入侵防護系統(IPS)等專用的安全設備，如果有(yǒu)條件可(kě)以追加部署其他安全設備和(hé)審計(jì)設備，例如數(shù)據庫審計(jì)設備、日志(zhì)審計(jì)設備等。

3. 管理(lǐ)的角度

組織安全意識和(hé)應急響應的相關培訓，提高(gāo)個(gè)人(rén)安全意識。有(yǒu)條件的話(huà)，對內(nèi)部操作(zuò)進行(xíng)記錄以方便審計(jì)。

安全不是絕對的，百密總有(yǒu)一疏。如果真的被勒索病毒綁架，我們就需要盡可(kě)能地減少(shǎo)損失。

首先是将受影(yǐng)響的服務器(qì)從網絡上(shàng)下線，避免病毒進一步擴散，控制(zhì)影(yǐng)響範圍和(hé)損失。立即聯系安全廠商和(hé)專業人(rén)員進行(xíng)處理(lǐ)。

如果是處于勒索病毒發作(zuò)的初期(未能加密完系統所有(yǒu)的數(shù)據)，可(kě)以通(tōng)過中斷勒索病毒程序來(lái)減少(shǎo)損失，比較直接簡單的方式是斷電(diàn)。盡管這不可(kě)避免會(huì)産生(shēng)一些(xiē)額外的數(shù)據丢失風險(緩存、內(nèi)存中的數(shù)據)，但(dàn)是基本上(shàng)可(kě)以防止勒索病毒進一步加密系統文件，破壞整個(gè)系統。之後使用PE工具讀取磁盤、備份所有(yǒu)數(shù)據并嘗試恢複。另一種方式是利用一些(xiē)安全工具臨時(shí)删除運行(xíng)中勒索病毒，對數(shù)據進行(xíng)緊急備份，後期可(kě)以分析提取出其中有(yǒu)價值的數(shù)據，但(dàn)是有(yǒu)可(kě)能會(huì)造成操作(zuò)系統死機等其他情況。

如果勒索病毒已經運行(xíng)了一段時(shí)間(jiān)，完成了加密加鎖，這種情況下需要保存備份進一步分析确認病毒的加密方式、是否存在未被加密的有(yǒu)效數(shù)據、是否能夠恢複等。

在嘗試還(hái)原被勒索病毒綁架的數(shù)據之前，還(hái)需要盡可(kě)能的确認攻擊者的攻擊路徑，避免上(shàng)線的熱備份服務器(qì)在短(duǎn)時(shí)間(jiān)再次遭受攻擊。

企業反洩密軟件,企業防洩密軟件,企業數(shù)據防洩密軟件,數(shù)據防洩密軟件,防洩密軟件,企業數(shù)據安全加密  軟件,企業數(shù)據防護軟件,企業數(shù)據加密軟件,數(shù)據加密軟件,企業級加密軟件,企業文檔加密軟件,設計(jì)圖  紙加密軟件,CAD圖紙加密軟件,機械圖紙加密軟件,工程圖紙加密軟件,圖文檔加密軟件,企業級無線覆蓋,  無線覆蓋,超融合