tokenpocketapp官方链接|勒索病毒的原理
勒索病毒原理及防范措施 - 知乎
勒索病毒原理及防范措施 - 知乎切换模式写文章登录/注册勒索病毒原理及防范措施凌启数据恢复专业应急处理勒索病毒解密,具备一支资深网络救援团队【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。发布于 2023-05-18 15:11・IP 属地海南勒索病毒网络安全数据恢复赞同 2添加评论分享喜欢收藏申请
勒索病毒加密原理? - 知乎
勒索病毒加密原理? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册勒索病毒Wana Decrypt0r 2.0(计算机病毒)勒索病毒加密原理?为什么勒索病毒会在短短10秒内加密那么多文件??速度如此之快,据我所知bitlock加密一个10G的盘需要1个小时之多?请问勒索病毒加密原理是什么? …显示全部 关注者20被浏览62,217关注问题写回答邀请回答好问题 2添加评论分享8 个回答默认排序史中黑客 (Hacker)等 2 个话题下的优秀答主 关注个人觉得勒索病毒种类很多,关于它的原理,我也看到有许多知友回答。在这里我想谈一谈之前发生在中国勒索病毒的真实案例,我是一名记者,也和受害聊了聊,关于这件勒索案例我采访了一些专业的人士还有收集了不少的资料。希望能够从另一个角度帮助知友们,有不同见解的小伙伴也可以提出自己的想法。-------正文分割线-------你有没有体验过一觉醒来,电脑里的所有重要数据全变成加密文件,必须要交一万多块的赎金才能解密这些文档?嗯,如果你不看这篇文章,可能就就机会体验了。一觉醒来损失一万块就在最近几天,一直在国外猖獗的勒索木马在中国突然大规模爆发。很多普通人早晨打开电脑,发现所有的文件都被黑客加密,而且明目张胆得索要比特币赎金,折合人民币一万多元。根据受害者爆料,本来一路心情愉快地去上班,开机却遭遇突发异常状况:昨天下班前电脑还好好的,今天突然开机之后电脑突然很卡,我并没有在意。结果等了一会,突然浏览器自动打开,弹出了一个勒索界面,告诉我所有的文件都已经被加密了,只有点击链接用比特币交付赎金之后才能拿到解密的密钥。【文件被加密之后的情形】如图所示,文件均被加密成以“.ODIN”扩展名结尾的文件,每个文件夹都内附一个 html 网页,打开之后,同样出现勒索网页:【弹出的勒索网页,要求受害者支付2.5个比特币】据受害者称,要想解密文档,被勒索的金额是2.5个比特币,今日1比特币的汇率是604.41美元,折合人民币4060.2451元,也就是说,勒索金额上万人民币。我们了解到,多个受害者均在公司就任与财务相关职位,或者是人事岗位,电脑中均保存了大量公司机密及重要信息,这些信息遭受攻击加密后,如果不解密将损失惨重。某个受害人表示,老板认为是他的原因才导致了这些重要资料被加密,所以让他自己来解决这些问题。赎金要一万多,如果老板逼我,我就准备辞职了。他无奈地表示。我们第一时间联系了 360 和腾讯的安全专家,挖出了这个勒索木马和这个木马家族的诸多信息。【网络上还流传一些中文版本的勒索信】勒索人到底是何方神圣?360反病毒工程师王亮告诉我们,这个“ODIN”木马是最近非常流行的密锁敲诈木马,它属于著名的“Locky”木马家族的分支变种。我们已经捕获了这个木马的80几个变种了。这个家族的敲诈木马从15年中期就有了,最近从国庆之前又开始泛滥。那么这个木马的背后究竟是谁呢?王亮说:在我们收集到的木马变种里,收款的比特币账户各不相同,勒索的金额也不同,大概是1-3个比特币左右,换算为人民币的话,平均在7000-8000元左右。但是由于勒索团伙要求用比特币通过暗网支付,所以很难查到背后的团伙究竟是谁,来自哪个国家。就连这些收款比特币账户之间有怎样的联系,都很难调查。不过,根据勒索信的内容来看,由于是纯英文,所以王亮基本可以判定这些木马的作者和敲诈团伙来自国外。我中招之后还有救吗?王亮告说了一个悲伤的消息:到目前为止,这个家族的加密手段还没有人能够破解。他详述了这个家族勒索木马的加密方法:先使用 AES-128 加密算法把电脑上的重要文件加密,得到一个密钥;再使用 RSA-2048 的加密算法把这个密钥进行非对称加密。这里的“128”和“2048”的数字是什么意思呢?这代表了密钥长度,128 就意味着密钥长度是128个字节,所以这个密钥的可能性有“2的128次方”之多。这样的加密有多强呢?王亮说:如果想使用计算机暴力破解,根据现在的计算能力,几十年都算不出来。如果能算出来,也仅仅是解开了一个文件。当然,从理论上来说,你也可以尝试破解被 RSA-2048 算法加密的总密钥,至于破解所需要的时间嘛。。。希望破解成功的时候太阳系还存在。那么,所有的勒索软件都无解吗?也并不是这样。在2014年勒索软件刚刚兴起的时候,有些勒索木马的加密方法不够规范,被安全人员找到了漏洞,可以绕过前面的防护手段,拿到密钥。还有一些团伙被追踪到了,主动在自己的网站上把私钥公开了,这时安全人员也可以根据私钥制作出解密工具。对于这类最新的勒索木马,虽然很残酷,但是安全专家承认,一旦中招(加密已经完成)之后,最经济的方法其实就是支付赎金。上图就是某受害者缴纳一万多元赎金之后,勒索者提供的密钥下载网址,其中用红色的字提醒:从今以后记得备份你的数据。被勒索者提醒要备份数据,就是这样的体验。在下载密钥之后,就到了让人“欣喜”的恢复数据过程:【电脑在解密本来就属于机主的数据】这类勒索木马会选择什么文件进行加密呢?王亮说:一般黑客会对“有价值的文件”进行加密,包括 Word、Excel、PPT、文档、图片、压缩包、数据库、源码等等。有些勒索木马还会删除系统自带的备份,就是为了防止用户通过系统恢复的方式找回珍贵的文档。根据受害人的描述,他们被加密的文档正是这些客户资料和合同文档之类的珍贵数据。【用暗网支付比特币流程复杂,在淘宝上有人专门帮助受害者支付赎金】下一个中招的会是我吗?病毒木马不可怕,但可怕的是,我们根本不知道为什么被感染。对于这几位受害者来说,他们根本没有感觉到自己做了不恰当的操作,就直接被木马加密。这些木马就像幽灵一样突然降临,确实让人后背发凉。如此说来,看这篇文章的所有人,都有可能 突然成为下一个受害者。腾讯电脑管家高级工程师徐超说,其实这类文件并不是凭空降临,而是有一些特定的传播方式:1、通过邮件传播。这些木马病毒被隐藏在邮件里,需要受害者打开附件里的文件并执行才能触发。这类文件往往看上去是图片或者表格,但实际是wsf或js格式的脚本。点击之后并没有反应,实际上后台已经开始默默下载勒索木马。2、漏洞挂马。分为两种情况a、网页挂马:木马传播者会把脚本挂在网页上,用户一旦访问这个网页,就会中招。这类网站一般都是人们“喜闻乐见”的网站,例如羞羞的网站。b、软件挂马:用户在非官方渠道下载了带有木马的软件,在开机后,不做任何操作,都有可能中毒。3、通过U盘传播。这种类型已经不常见了。【受害者访问的挂马网站:51credit.com】通过一下午的排查,360反病毒工程师王亮已经确定了一位受害者的感染途径,他访问了一个信用卡交流网站:我爱卡,这个小有名气的网站论坛的某个广告位被黑客挂了木马,而受害者加载页面之后,整个木马的下载过程都是静默的。显然,勒索者的触角已经非常深入了。【打开挂马的页面之后,木马自动下载执行/图片由 360 提供】王亮说,这类木马一开始国外传播,后来才渗透进中国。所以最先中招的使一些有国际业务的中国公司,例如外贸企业。显然,黑客尝到了甜头,因为有中国人愿意为这些资料支付赎金。所以在此之后就有一些专门针对中国企业和组织进行攻击,后来感染的对象扩大到了教育机构或其他大型组织。所以,怎样躲开敲诈?腾讯电脑管家高级工程徐超告诉雷我们,这种木马的危害是一次性的。一旦病毒发作,只会对全盘进行一次加密动作,之后再新建文件,都不会被加密。而且这种木马一般是没有传染性的。然而说了这么多,一旦加密完成,即使是顶级安全专家也回天乏术。所以所有的“逃生机会”都在防患上。除了不点击可疑网页和邮件、不下载不明软件以外,还有一个非常重要的就是,安装防护软件。虽然很多童鞋可以细数“鹅厂”和“数字厂”管家卫士的种种不尽如人意的地方。但是关键时刻,他们还是会保护你的安全,顺便给你省3个比特币之类的。徐超告诉我们,腾讯电脑管家针对这些勒索木马进行了防御。可以监控邮箱和网页,对软件挂马也有监控感知能力。目前掌握了60多个存在漏洞的软件,并针对性的做了云防御加固。而王亮告诉我们,360安全卫士对勒索木马也有针对性的防御策略,不仅对于流行的木马实现查杀,还可以对非法的大规模文件改动进行拦截。另外,王亮还表示,360有先行赔付的业务。通俗地来说,如果你使用了最新的360安全卫士,但依然中招,他们会对受害者进行最高3个比特币的赔付。这对于那个因为付不起赎金而要辞职的童鞋来说应该是个好消息。然而,他告诉我们,电脑被加密的时候,他是裸奔的。。。所以,你问我怎样才能防止一觉醒来就损失一万块钱这样的悲剧发生?我的建议是:1、备份你的数据。2、不要裸奔。3、把你的防护软件和系统都升到最高级。我叫史中,是一个倾心故事的科技记者。我希望把我的文章分享给你,把知识传播给更多的人,分享知识使我们快乐。发布于 2018-07-06 16:45赞同 448 条评论分享收藏喜欢收起YiData 关注一,如何分辨360勒索病毒被加密后文件如下图:.360后缀是这个月新出现的一个变种,属于BeijingCrypt勒索病毒家族,是黑客通过暴力破解远程桌面口令成功后手动投毒。此勒索病毒对计算机中,所有的文件均进行加密,并在文件名后附加“.360 ”后辍名,如图所示:中360勒索病毒以后的电脑:中毒之后的电脑中360勒索病毒以后的文件:360勒索病毒感染以后软件备份文件,均被加密,无法使用:把备份文件都加密成360后辍二,360勒索病毒文件分析此次分析的文件为数据库文件,被加密后的文件底层,看下图:数据库文件头部上图中可以看到,文件被加密后为乱码,已经不是正常的mdf文件头部。再看看文件结尾处的情况:360勒索病毒加密后数据尾部分析上图中可以看到文件尾是典型的360勒索病毒的特征。三,360勒索病毒是否可以恢复可以恢复,客户数据已经成功恢复,并且交付客户验证成功,恢复完成后数据如下图:协助客户重新部署数据100%恢复,可以追查到2016年的数据数据100%恢复经客户验证,数据库记录完整度100%,不丢记录,客户已将数据用于实际生产环境。四,如何防范360勒索病毒议包括杀毒软件部署和数据备份、网络安全及密码安全方面内容,可参考执行,我们也可以协助执行。1,杀毒软件部署:建议安装火绒杀毒软件,个人版本为免费软件,安装完成后可设置软件的功能设置和退出密码,密码强度建议大小写加特殊字符,密码位数不小于16位。此功能可在黑客获得系统管理员权限后,更改杀毒软件设置和结束杀毒软件进程时没有密码而不能改变设置和结束进程,只要杀毒软件进程还在运行,黑客的加密程序将无法拷贝到本地,即使拷贝到本地也不能运行。从而保护数据安全。2,数据备份:数据库建议进行定时的离线备份或异地备份。根据数据库数据的颗粒度设置备份周期(每日、每三天、每周),并严格遵守。文件共享服务器可采用NAS(网络附属存储)进行备份,可对重要文件夹进行差异备份,只要此文件夹内文档有改动,备份软件便会对改动的文件进行备份。可设置全盘备份、某个目录备份及整机备份。有效保证数据安全。云服务器离线备份不方便,可在云服务器端安装百度网盘等工具,设置对重要文件所在的目录进行定期备份,要注意的是密码强度一定要高。3,网络端口安全:操作系统应开启网络防火墙,只开放服务器向外提供服务的端口,其它端口一律关闭。一些常用知名端口可更改端口号再对外提供服务,如MSSQL 的常用端口号为1433,远程桌面端口号为3389等,可将这类端口号更改为不常用的端口号,更改完成后只要在配置服务时相应的配置便可。因为黑客常用的网络扫描工具会针对知名端口号进行扫描,再根据端口的漏洞进行攻击,攻击成功后便可对机器进行加密。开放的端口越少,黑客可利用的就越少,系统就越安全。4,密码安全及系统更新:基本要求为所有的密码都应设置大于16位的数据+字母(大小写)+特殊符号的强密码,如果有多台服务器应为每台服务器设置单独的登录密码,防止黑客在成功爆破一台服务器后把所有服务器被一锅端。建议操作系统安装windows 2016以上版本,并经常查看操作系统的更新功能,检查发现有要安装的补丁应及时更新,并留意微软每个月的第二个星期二定期发布系统更新补丁日,有涉及到的应及时更新。做好以上四个方面可有效的提高数据及系统安全性,如果在实施过程中需要我们协助可随时联系我们。五,是否有成功案例360后缀勒索病毒已经有大量成功案例,包括金蝶数据库,用友数据库,思迅数据库、科脉数据库、友商数据库、管家婆数据库、泰格数据库、方象数据库、海鼎数据库、博士德数据库、新中大数据库、迅越数据库、美萍数据库、赢通软件数据库、思通达软件数据库、盖华软件数据库、速达软件数据库、宏业软件数据库、海典ERP数据库,智百威数据库、安仕达软件数据库、朋科软件数据库……发布于 2023-01-24 18:16赞同 1添加评论分享收藏喜欢
勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节 - 知乎
勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节 - 知乎切换模式写文章登录/注册勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节火绒安全已认证账号一、综述5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模攻击。我国的许多行业机构和大型企业也被攻击,有的单位甚至“全军覆没”,损失之严重为近年来所罕见。本报告将从传播途径、危害方式和结果、受威胁用户群等角度,逐一厘清这个恶性病毒方方面面的真相,用以帮助大家认识、解决该病毒,防范未来可能出现的变种病毒,同时澄清一些谣传和谎言。病毒攻击行为和结果遭受WannaCry病毒侵害的电脑,其文件将被加密锁死,惯常来说,受害用户支付赎金后可以获得解密密钥,恢复这些文件。但是根据火绒工程师的分析,遭受WannaCry攻击的用户可能会永远失去这些文件。WannaCry病毒存在一个致命缺陷,即病毒作者无法明确认定哪些受害者支付了赎金,因此很难给相应的解密密钥,所以用户即使支付了赎金,也未必能顺利获得密钥该电脑系统及文件依旧无法得到恢复。至于网上流传的各种“解密方法”,基本上是没用的,请大家切勿听信谎言,以防遭受更多财产损失。一些安全厂商提供的“解密工具”,其实只是“文件恢复工具”,可以恢复一些被删除的文件,但是作用有限。因为病毒是生成加密过的用户文件后再删除原始文件,所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁,导致被删除的原始文件数据块被覆盖,致使实际恢复效果有限。且随着系统持续运行,恢复类工具恢复数据的可能性会显著降低。传播途径和攻击方式据火绒实验室技术分析追溯发现,该病毒分蠕虫部分及勒索病毒部分,前者用于传播和释放病毒,后者攻击用户加密文件。其实,蠕虫病毒是一种常见的计算机病毒。通过网络和电子邮件进行传播,具有自我复制和传播迅速等特点。此次病毒制造者正是利用了前段时间美国国家安全局(NSA) 泄漏的Windows SMB远程漏洞利用工具“永恒之蓝”来进行传播的。据悉,蠕虫代码运行后先会连接域名:hxxp://http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名可以成功连接,则直接停止。而如果上述域名无法访问,则会安装病毒服务,在局域网与外网进行传播。但是无论这个“神奇开关”是否开启,该病毒都会攻击用户,锁死文件。另外,这个开关程序很容易被病毒制造者去除,因此未来可能出现没有开关的变种病毒。易受攻击用户群目前看来,该病毒的受害者大都是行业机构和大型企业,互联网个人用户受感染报告很少。下面我们从操作系统和网络结构两个角度,来说明容易受到攻击的用户群。首先,该病毒只攻击Windows系统的电脑,几乎所有的Windows系统如果没有打补丁,都会被攻击。而Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 版本,用户如果开启了自动更新或安装了对应的更新补丁,可以抵御该病毒。Windows10是最安全的,由于其系统是默认开启自动更新的,所以不会受该病毒影响。同时,Unix、Linux、Android等操作系统,也不会受到攻击。同时,目前这个病毒通过共享端口传播同时在公网及内网进行传播,直接暴露在公网上且没有安装相应操作系统补丁的计算机有极大风险会被感染,而通过路由拨号的个人和企业用户,则不会受到来自公网的直接攻击。火绒将持续追杀WannaCry目前,对抗“蠕虫”勒索软件攻击的行动仍未结束,在此,火绒安全专家提醒广大用户无需过度担心,“火绒安全软件”已迅速采取措施,完成紧急升级,通过火绒官网下载软件,升级到最新版本即可防御、查杀该病毒。自5月12日,WannaCry病毒一出,各机构和用户人心惶惶,草木皆兵,日前更是出现了2.0新变种等耸人听闻的言论。截止到今日,火绒已经收集到的所谓的“WannaCry”最新版本的“变种”,但通过对比分析发现,该“变种“有明显的人为修改痕迹,是好事者在造谣蹭热度。火绒实验室可以负责任地告诉大家,目前还没有出现新版本变种。而日后病毒是否会变异出现新“变种”?火绒实验室将持续跟踪新的病毒变种,一旦遇到新变种会随时升级产品。火绒产品默认自动升级,请广大用户放心使用,无需做任何设置。内网用户通过外网下载火绒产品升级到最新版本,然后覆盖安装内网电脑即可。此次勒索病毒WannaCry传播速度快,影响范围广,是互联网历史上所罕见的一次“网络安全事故”。对安全厂商而言,是一次极大的考验,“安全”重回主流势在必行,同时也促进了全社会对网络安全意识的提升。二、样本分析该病毒分为两个部分:(1) 蠕虫部分,用于病毒传播,并释放出勒索病毒。(2) 勒索病毒部分,加密用户文件索要赎金。2.1 蠕虫部分详细分析:2.1.1 蠕虫代码运行后先会连接域名:hxxp://http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名可以成功连接,则直接退出。关于这个“Kill Switch”的存在网络上众说纷纭,我们认为相对可靠的解释是:开关的存在是为了检测安全软件沙箱。这种手法多见于恶意代码混淆器,但是除了看到几个人为修改“Kill Switch”的样本外,该病毒并没有批量生成、混淆的迹象。另外,如果真是为了对抗安全软件沙箱,和以往对抗沙箱的样本比起来,这段代码过于简单,而且出现的位置也过于明显。所以,放置这样一个“低级”的“Kill Switch”具体出于何种原因,恐怕只有恶意代码作者能够解释了。2.1.2 如果上述域名无法访问,则会安装病毒服务,服务的二进制文件路径为当前进程文件路径,参数为:-m security,并启动服务。2.1.3 释放资源到C:\WINDOWS目录下的tasksche.exe(该程序是勒索病毒),并将其启动。2.1.4 蠕虫病毒服务启动后,会利用MS17-010漏洞传播。传播分为两种渠道,一种是局域网传播,另一种是公网传播。如下图所示:局域网传播主要代码如下图:病毒会根据用户计算机内网IP,生成覆盖整个局域网网段表,然后循环依次尝试攻击。相关代码如下: 公网传播主要代码如下图,病毒会随机生成IP地址,尝试发送攻击代码。 SMB漏洞攻击数据包数据,如下图所示:Worm病毒的PE文件中包含有两个动态库文件,是攻击模块的Payload,分别是:x86版本的payload,大小0x4060和x64版本的payload,大小0xc8a4。两个Payload都是只有资源目录结构没有具体资源的无效PE动态库文件。病毒在攻击前,会构造两块内存,在内存中分别组合Payload和打开Worm病毒自身,凑成有效攻击Payload,代码如下图所示:有效攻击Payload模型如下:完整的攻击Payload的资源如下图,资源中的第一个DWORD是病毒大小,之后就是病毒本身。然后使用MS17-010漏洞,通过APC方式注入动态库到被攻击计算机的Lsass.exe,并执行Payload动态库的导出函数PlayGame,该函数非常简单,功能就是释放资源“W”到被攻击计算机“C:Windows\mssecsvc.exe”,并执行,如下图所示:火绒剑监控被攻击计算机的如下:被攻击的计算机包含病毒的完整功能,除了会被勒索,还会继续使用MS17-010漏洞进行传播,这种传播呈几何级向外扩张,这也是该病毒短时间内大规模爆发的主要原因。如下图:目前,攻击内网IP需要用户计算机直接暴露在公网且没有安装相应操作系统补丁的计算机才会受到影响,因此那些通过路由拨号的个人用户,并不会直接通过公网被攻击。如果企业网络也是通过总路由出口访问公网的,那么企业网络中的电脑也不会受到来自公网的直接攻击。但是,现实中一些机构的网络存在直接连接公网的电脑,且内部网络又类似一个大局域网,因此一旦暴露在公网上的电脑被攻破,就会导致整个局域网存在被感染的风险。2.2 勒索病毒部分详细分析:2.2.1 该程序资源中包含带有密码的压缩文件,使用密码“WNcry@2ol7”解压之后释放出一组文件:a)taskdl.exe,删除临时目录下的所有“*.WNCRYT”扩展名的临时文件。b)taskse.exe,以任意session运行指定程序。c)u.wnry,解密程序,释放后名为@WanaDecryptor@.exe。d)b.wnry勒索图片资源。e)s.wnry,包含洋葱路由器组件的压缩包。病毒作者将勒索服务器搭建在”暗网”,需要通过tor.exe和服务器进行通信。f)c.wnry,洋葱路由器地址信息。g)t.wnry,解密后得到加密文件主要逻辑代码。h)r.wnry,勒索Q&A。2.2.2 通过命令行修改所有文件的权限为完全访问权限。命令行如下:icacls . /grant Everyone:F /T /C /Q2.2.3 解密t.wnry文件数据得到含有主要加密逻辑代码的动态库,通过其模拟的LoadLibrary和GetProcAddress函数调用该动态库中的导出函数执行其加密逻辑。调用勒索动态库代码,如下图所示:勒索主逻辑执行,先会导入一个存放在镜像中的RSA公钥,之后调用CryptGenKey生成一组RSA算法的Session key。之后将这组Key的公钥通过CryptExportKey导出,再写入到00000000.pky文件中。将Session key中的私钥用刚导入RSA公钥进行加密,存放在00000000.eky如下图所示:如果遍历到的文件扩展名在欲加密的文件扩展名列表中,如下图所示:则会将当前文件路径加入到文件操作列表中,在遍历文件结束后一并进行文件操作。代码如下图:对于每个需要加密的文件,都会调用CryptGenRadom随机生成AES密钥,之后使用Session Key中的RSA公钥对AES密钥进行加密,存放在加密后的数据文件头中,之后将原始文件数据用该AES密钥进行加密。如下图所示:整体加密流程,如下图所示:因为病毒是生成加密过的用户文件后再删除原始文件,所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁,导致被删除的原始文件数据块被覆盖,致使实际恢复效果有限。且随着系统持续运行,恢复类工具恢复数据的可能性会显著降低。三、关于“WannaCry”新变种的说明早期版本的“WannaCry”病毒存在“Kill Switch”开关,也就是病毒中检测“http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”这个网址是否可以访问的代码片段,如果可以访问则不会利用“永恒之蓝”漏洞继续传播。现在这个域名已经被注册,这个版本“WannaCry”传播功能等于已经关闭,因为这段代码本身没有加密,所以很可能会被得到改病毒样本的“骇客”修改,放开开关,使病毒继续传播。截止到今日,火绒已经收集到的所谓“WannaCry”最新版本的“变种”,正如我们推测的一样,网上两个“热炒"变种, SHA256分别为:32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cfc8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6和早期的“WannaCry”相比SHA256:24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c有明显人为修改痕迹,如下图所示:这个样本仅仅是16进制修改了两个字节,让"Kill Switch"失效,这个修改不会影响火绒的检测。另外一个样本除了修改了"Kill Switch"域名,还修改了病毒携带勒索模块。经过测试勒索代码已经被修改坏了,无法运行。如下图:除了以上两个样本,火绒还截获另一个人为修改的” WannaCry “样本,同样被修改的不能运行,火绒依然可以检测。SHA256如下:99c0d50b088df94cb0b150a203de6433cb97d4f8fd3b106ce442757c5faa35c4 截止到本篇分析完成火绒还没截获所谓关闭“Kill Switch”开关的病毒样本。四、附录样本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发布于 2017-05-16 16:33Wana Decrypt0r 2.0(计算机病毒)勒索病毒计算机病毒赞同 35441 条评论分享喜欢收藏申请
勒索病毒的原理和防范机制研究_勒索软件防护原理是什么-CSDN博客
>勒索病毒的原理和防范机制研究_勒索软件防护原理是什么-CSDN博客
勒索病毒的原理和防范机制研究
最新推荐文章于 2024-01-19 18:17:45 发布
图书馆415章若楠
最新推荐文章于 2024-01-19 18:17:45 发布
阅读量1.1w
收藏
77
点赞数
9
分类专栏:
学习笔记
文章标签:
web安全
网络安全
安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yrhych123/article/details/120431915
版权
学习笔记
专栏收录该内容
2 篇文章
0 订阅
订阅专栏
勒索病毒的原理和防范机制研究
什么是勒索病毒?近几年爆发的勒索病毒概况勒索病毒特征及危害勒索病毒通过什么方式入侵我们的电脑?勒索病毒的原理是什么?技术特点?现实生活中,我们该如何防范?小结
什么是勒索病毒?
【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。 【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。 【密码学技术】这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。 【喜好攻击对象】这种病毒很精明,一般很少入侵个人电脑,主要针对的是企业用户,原因是成本低,回报高。由于这把锁的钥匙只有攻击你的人才拥有,所以很多被攻击的企业为了找回自己的数据资料不得不支付动辄千万的赎金。与其他机构相比,医院的信息系统也比较有特殊性,如其中的医学记录、数据、病患资料以及预约信息等,都属于需要紧急使用的信息,被加密后,会造成比较大的影响,所以势必会想尽办法以最快速度恢复数据,比如,马上交赎金。所以常常看到勒索病毒的优先攻击对象往往是一些医院、企业、政府、高校、银行。
什么是挂马? :挂马是木马的一种传播方式。话句话说,木马是一种恶意软件,而挂马是使该软件进入用户电脑的途径之一。其中网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马,再上到空间里面!再加代码使得木马在打开网页时运行!
近几年爆发的勒索病毒概况
1、2017年5月,一种名为“想哭”(WannaCry)的勒索病毒袭击全球150多个国家和地区,30万名用户,近百个国家的政府、高校、医院等机构及个人的计算机收到感染,恶意加密用户个人文件,以解密诉求为由索要赎金,引发了迄今为止网络世界最大的安全危机。 2、2017年6月,欧洲、北美地区多个国家遭到新型勒索病毒“Petya”攻击。乌克兰受害严重,其政府部门、国有企业相继“中招”,多国的政府、银行、电力系统、通讯系统等多个行业均受到不同程度的影响。 3、2017年10月,俄罗斯、乌克兰等国遭到勒索病毒“坏兔子”攻击。乌克兰敖德萨国际机场、首都基辅的地铁支付系统及俄罗斯三家媒体中招,德国、土耳其等国随后也发现此病毒。 4、2018年2月,多家互联网安全企业截获了“Mind Lost”勒索病毒。 5、2018年2月,中国内便再次发生多起勒索病毒攻击事件。经腾讯企业安全分析发现,此次出现的勒索病毒正是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命为.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等扩展名,并通过邮件来告知受害者付款方式,使其获利更加容易方便。 6、2018年3月,有杀毒软件厂商表示,他们监测到了“麒麟2.1”的勒索病毒。 7、2018年3月,国家互联网应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产和手机安全均造成严重威胁。 8、从2018年初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击,攻击次数高达1700万余次,且整体呈上升趋势。 9、2018年12月,火绒安全团队曝光了一个以微信为支付手段的勒索病毒在国内爆发。几日内,该勒索病毒至少感染了10万台电脑,通过加密受害者文件的手段,已达到勒索赎金的目的,而受害者必需通过微信扫一扫支付110元赎金才能解密。 10、2018年12月,平安东莞账号证实“12.05”特大新型勒索病毒案已被侦破,根据上级公安机关“净网安网2018”专项行动有关部署,近日,东莞网警在省公安厅网警总队的统筹指挥,24小时内火速侦破“12.05”特大新型勒索病毒破坏计算机信息系统案,抓获病毒研发制作者罗某某(男,22岁,广东茂名人),缴获木马程序和作案工具一批。 11、2019年3月,瑞星安全专家发现通过发送恐吓邮件,诱使用户下载附件,导致重要文件被加密且无法解密的GandCrab5.2勒索病毒。 12、近日,国内很多公司都感染了后缀.file勒索病毒,甚至国内某个软件Saas云服务器全部沦陷,91数据恢复团队已经接到很多公司的求助,这些公司的服务器都因中毒感染.file后缀勒索病毒而导致公司业务停摆或耽误
勒索病毒特征及危害
以勒索病毒WannaCry为例。它与以前的勒索软件有非常明显的区别,具有蠕虫性质,特点和危害: 1、传播速度更快、传播范围更广。 2、全程自动化、攻击行为更隐蔽。 3、感染无法补救、危害程度深 什么是蠕虫性质? :蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。具有感染更强传播更快的特点。
勒索病毒通过什么方式入侵我们的电脑?
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
勒索病毒的原理是什么?技术特点?
勒索类病毒都利用了密码学中的公钥密码算法来加密文件。有的病毒使用RSA加密(比如WannaCry病毒),有的使用椭圆曲线加密(比如CTB Locker)。 WannaCry病毒利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染,并作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染,大范围超快速扩散。病毒母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播。此外,会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。病毒加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。
攻击流程图:
加密流程图:
密钥及加密关系:
现实生活中,我们该如何防范?
【企业防范】 1、在省一级以上的医院,将配备安全人员或相关预算(安全服务外包),可以定期做安全检测,相当于每年体检一次,知道问题在哪里,根据自己的产品部署安全或配备安全。 2、更改服务器口令:复杂度最好采用大小写字母、数字、特殊符号混合的组合结构、口令位数足够长(15位、两种组合以上),并且定期更换登录口令;服务器密码使用高强度和不规则密码,多台机器不使用相同或相似的口令,要求每个服务器使用不同的密码管理。 3、建立内部访问控制,建立服务器和工作站内部访问的相应控制,不需要互连需求,避免服务器在连接外部网络后被攻击,作为跳板被企业服务器攻击。 4、为安全专业人员部署云服务。我们不熟悉终端和服务器上的专业和安全保护软件。服务器可以考虑诸如不熟悉的腾讯云和专业安全保护功能等云服务。 【个人防范】 1、安全加固,对服务器和终端安装专业的安全防护软件;定期检测系统漏洞并修复,及时更新Flash、Java、以及一系列Web服务程序,打齐安全补丁。 2、保护你自己的文档,勒索病毒最想加密的是你的重要文件,所以平时注意备份,或者加密;对重要的数据、文件进行实时或定期备份,而且是异地备份。 3、关闭不必要的端口,默认情况下,许多端口对Windows开放,非法黑客可以通过这些端口连接到您的计算机。尽可能关闭445, 135, 139和其他不需要的端口,3389端口可以是白名单配置,只允许白名单的IP连接登录。 4、关闭不必要的文件共享。文件共享也有风险。如有必要,请使用ACL和强密码保护来限制访问权限,并禁用对共享文件夹的匿名访问。 5、不要点击陌生链接、来源不明的邮件附件,打开前使用安全扫描,确认安全性,尽量从软件管家或官网等可信渠道下载软件;要养成上网的良好习惯。
小结
网络安全的威胁来源和攻击手段不断变化,不是依靠几个病毒防护软件就可永保网络安全,而是需要树立动态、综合的防护理念。新的网络攻击必须要有新的核心技术才能应对,可信计算技术体系及其产品具有主动免疫、动态防御、快速响应等特点,可有效应对非预知病毒木马,改变网络攻击被动挨打,受制于人的局面,是建立网络空间主动免疫的安全防御体系的有利支撑。
优惠劵
图书馆415章若楠
关注
关注
9
点赞
踩
77
收藏
觉得还不错?
一键收藏
知道了
0
评论
勒索病毒的原理和防范机制研究
勒索病毒的原理和防范机制研究什么是勒索病毒?近几年爆发的勒索病毒概况勒索病毒特征及危害勒索病毒通过什么方式入侵我们的电脑?5、勒索病毒的原理是什么?技术特点?现实生活中,我们该如何防范?小结什么是勒索病毒?【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。【密码学技术】这种病
复制链接
扫一扫
专栏目录
Web安全深度剖析
07-23
资源名称:Web安全深度剖析资源截图:
资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
[图解] 勒索病毒加密原理
Qode
08-13
7910
示意图
原理
公开密钥密码体制 要求密钥成对出现,一个用于加密,另一个用于解密,并且且不可能从其中一个推导出另一个。
加密过程
病毒作者首先在自己电脑上生成的 私钥Q 和 公钥Q,算法可以基于RSA或者椭圆曲线。
病毒在目标电脑上随机生成 私钥Z 和 公钥Z
将用户电脑上的文件通过 公钥Z 加密
将用户电脑上的 私钥Z 通过 公钥Q 加密
删除用户电脑上的 私钥Z 、公钥Q、数据
解密过程
支付...
参与评论
您还未登录,请先
登录
后发表或查看评论
2023年中国企业勒索病毒攻击态势分析报告
最新发布
02-01
本次报告,从 2022 年 1 月至 2023 年 3 月的千余份网络安全应急响应分析报告中,甄选
出了 206 起造成重大破坏或严重损失的勒索病毒攻击典型事件的应急响应分析报告为研究
样本,分别从行业特征、攻击溯源、感染范围、病毒类型、攻击时长、攻击方式等方面展开
深度分析,并首次给出了勒索病毒攻击的生存曲线。同时,报告还结合勒索病毒的攻击特征,
深入分析了中招机构网络安全建设与运营方面的“通病”,为政企机构高效率的建设勒索病
毒防范体系提供了重要的参考依据。
勒索病毒:原理与防御
m0_73734159的博客
01-19
633
保持操作系统和软件的更新、安装可靠的反病毒软件、不随意打开未知邮件和链接、定期备份重要文件和提高网络安全意识等措施都是预防勒索病毒的有效手段。勒索病毒,又称为Ransomware,是一种恶意软件,通过感染电脑系统、服务器或者手机等设备,使用户文件被加密,从而向用户索取赎金以解锁文件。提高网络安全意识:提高网络安全意识,不轻信陌生邮件、链接和附件,可以有效降低感染勒索病毒的风险。保持操作系统和软件的更新:及时更新操作系统、软件和安全补丁,可以有效防止勒索病毒的感染。
勒索病毒的原理和防御学习说明资料
08-28
勒索病毒的原理和防御
深入剖析NGINGX
01-31
深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX
勒索软件的原理
m0_62063669的博客
08-04
1635
算法,将受害者本地生成的RSA私钥进行了加密。通过这两步,只有作者使用自己私钥解密受害者RSA私钥后,受害者才能还原到本地AES密钥,从而使用AES算法解密文件。2. 借杀毒软件之名,假称在用户系统发现了安全威胁,令用户感到恐慌,从而购买所谓。会伪装成反病毒软件,谎称在用户的系统中发现病毒,诱骗用户付款购买。勒索软件攻破企业网络之后,如果顺利获取重要数据,就会进入下一环节,但如果没有。3. 计算机屏幕弹出的提示消息,称用户文件被加密,要求支付赎金。用户文档,只有在用户支付赎金后,才提供解密文档的方法。...
勒索病毒的原理与防范
2302_76601220的博客
11-17
359
什么是勒索病毒?
【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。
【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
【密码学技术】这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
【喜好攻击对象】这种病毒很精明,一般很少入侵个人电脑,主要针对的是企业用户,原因是成本低,
勒索软件工作原理
NewTyun的博客
06-06
829
新钛云服已累计为您分享646篇技术干货勒索软件的工作原理是通过非对称加密方法加密用户的文件。勒索软件是一种恶意软件,也称为恶意软件,勒索软件通过攻击用户的计算机或设备来工作,并通过加密来阻止他们访问其文件。然后,攻击者要求金钱以换取解密文件。勒索软件可以通过多种方式攻击和加密文件,这些方法具有不同程度的复杂性。勒索软件如何获得访问权限与所有恶意软件一样,勒索软件必须绕过设...
应急响应二 - 后门分析&勒索病毒&攻击
acepanhuan的博客
04-01
855
应急响应二 - 后门分析&勒索病毒&攻击
Wannacry勒索病毒分析
热门推荐
qq_31507523的博客
06-17
1万+
Wannacry病毒分析
在15pb刚毕业,准备找活了,之前有幸听过奇安信的招聘会,大佬说,永恒之蓝病毒现在还在某些地方流行着,是经典的勒索病毒。这让我觉得分析这个病毒是刷经验的好机会,所以就在决定分析一下这个在2017年的纵横江湖无敌手的勒索之王,由于是新手入坑,不对之处还请多多指教(●ˇ∀ˇ●)
分析平台:win7虚拟机
分析工具:OD、IDA
辅助工具:LordPE、PEID、010Edi...
医疗行业勒索病毒防范.pdf
08-08
医疗行业网络安全形势
勒索病毒介绍
勒索病毒处置解决方案
结语
计算机病毒与木马程序剖析
04-09
对计算机病毒和木马的内核和技术进行详细的描述
TensorFlow 内核剖析
12-21
TensorFlow 内核剖析
勒索病毒应急措施及防护方案.pptx
09-08
勒索病毒产业链
病毒勒索五大形式
常见的勒索病毒
勒索病毒攻击手段
勒索病毒中毒特征
勒索病毒自救措施
加强管理制度建设预防勒索病毒
勒索病毒立体防护解决方案
勒索病毒立体防护方案用户收益
OptiSystem剖析.pdf
05-29
OptiSystem中文实例介绍
勒索病毒c语言源代码,勒索病毒原理解析
weixin_35355756的博客
05-22
5518
一、编程思路什么是勒索病毒:遍历你电脑上所有文件,并且用加密算法加密,然后把加密秘钥发送到自己邮箱里,弹出窗口。工具:操作系统API,加密算法思路:1.程序设计 思路规划清楚1.1 加密单个文件1.2 遍历文件系统并加密文件2.工程实现: 编程3.测试上线 :、测试欢迎加入学习群【892643663】,获取全套免费C/C++企业实战级课程资源(素材+源码+视频)和编译大礼包二、代码解析//文件遍...
勒索病毒是什么?防勒索病毒我们该怎么做?
cnsinda_sdc的博客
03-18
6947
什么是勒索病毒?
勒索病毒并不是某一个病毒,而是一类病毒的统称,主要以邮件、程序、木马、网页挂马的形式进行传播,利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
已知最早的勒索软件出现于 1989 年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo,亦称“PC Cyborg木马”),其作者为 Joseph Popp。早期的勒索病毒主要通过钓鱼邮件,挂马,社交网络方式传播,使用转账等方式支付赎金,其攻击范畴和持续攻击能力相对有限,相对容易追查。..
公有云防勒索病毒原理
08-25
公有云防勒索病毒的原理是通过配置安全组和云防火墙来过滤流量,从而提供对云主机的保护。安全组配置在云主机的虚拟网卡上,安全组规则对云主机的东西向和南北向流量生效。而云防火墙配置在VPC的流量统一出口处,对...
“相关推荐”对你有帮助么?
非常没帮助
没帮助
一般
有帮助
非常有帮助
提交
图书馆415章若楠
CSDN认证博客专家
CSDN认证企业博客
码龄5年
暂无认证
2
原创
117万+
周排名
40万+
总排名
1万+
访问
等级
31
积分
6
粉丝
10
获赞
1
评论
81
收藏
私信
关注
热门文章
勒索病毒的原理和防范机制研究
11647
Web安全学习记录(一)
1507
分类专栏
学习笔记
2篇
最新评论
Web安全学习记录(一)
我是榜样:
写的什么东西
您愿意向朋友推荐“博客详情页”吗?
强烈不推荐
不推荐
一般般
推荐
强烈推荐
提交
最新文章
Web安全学习记录(一)
2021年2篇
目录
目录
分类专栏
学习笔记
2篇
目录
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
祝福语
请填写红包祝福语或标题
红包数量
个
红包个数最小为10个
红包总金额
元
红包金额最低5元
余额支付
当前余额3.43元
前往充值 >
需支付:10.00元
取消
确定
下一步
知道了
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝
规则
hope_wisdom 发出的红包
实付元
使用余额支付
点击重新获取
扫码支付
钱包余额
0
抵扣说明:
1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。
余额充值
勒索病毒的原理、危害与防护 - 知乎
勒索病毒的原理、危害与防护 - 知乎切换模式写文章登录/注册勒索病毒的原理、危害与防护创信长荣人因梦想而伟大什么是勒索病毒勒索病毒是一种通过加密被感染者计算机上面的文件,并施于敲诈勒索的恶意程序。勒索病毒会导致严重的数据安全问题,让企业、个人的核心数据资产被完全加密,从而影响正常的生产、或者让一些业务系统完全不可用,间接造成了严重的经济损失。2017年,勒索病毒借助永恒之蓝漏洞,席卷全球,造成全球超过550亿元以上的损失,让无数企业闻风丧胆。很多安全厂商都马上推出各种针对勒索病毒的专杀工具、防护工具、解密工具,但时至今日,勒索病毒仍然经久不衰。一些人可能会问,勒索病毒这么厉害,是因为它很复杂,安全厂商没有研究透它吗?不,事实刚好相反,勒索病毒太过于简单了,简单到谁都可以轻易的实现一个勒索病毒。勒索病毒完全没有固定的特征,可以使用任何的开发语言实现(最新很多采用了Go、Rust这样的语言开发),或者直接基于PowerShell脚本就可以实现勒索病毒的效果。更甚者,直接通过压缩文件,压缩后删除源文件,也可以实现勒索病毒效果。勒索病毒大部分使用了非对称加密,即使把源码完全公开,也没有办法还原被加密的文件。正因为如此,网上甚至出现了很多开源勒索病毒,勒索病毒 as Service的概念,勒索病毒完全产业化,在利益驱动下,使得勒索病毒层出不穷。甚至有一些缺乏法律意识的人直接下载开源的勒索病毒,然后采用微信收款来实现勒索病毒的收款。勒索病毒的防护在目前的安全市场上,针对勒索病毒主要是两个方向的防护:针对勒索病毒的感染渠道来做防护及时安装补丁添加防火墙策略使用零信任网络增强边界防御针对勒索病毒本身的特点来做防护杀毒云引擎依赖海量数据采集能力,可以短时间内捕获到新型的勒索病毒,然后将特征同步给杀毒软件文档守护者在用户修改文件的时候,智能备份,在出现数据被加密后,可以通过备份恢复行为智能提醒 在发现某些程序频繁操作文件后,弹框提醒让用户确认添加可信区域将计算机隔离成可信、不可信两个区域,保证数据只被可信区域的程序访问冰盾 · 主动防御系统为解决勒索病毒的问题,基于行为防御的冰盾专门针对勒索病毒添加了两个规则模板:文档保护可以保护匹配规则的文件只被信任的进程操作隐私保护可以保护匹配规则的文件只被信任的进程读取只需要简单添加需要保护的文件路径,然后添加允许操作这些文件的进程路径,就可以得到文档保护的目的。用户可以非常灵活的制定自己针对勒索病毒的防护解决方案,同时不会占用大量系统资源。特别是一些没法实时更新杀毒软件的内网环境、或者是需要长期运行的服务器环境。冰盾 · 主动防御系统 【专业不流氓】是一款为专业人士打造的终端、主机主动防御系统,可以帮助您抵制流氓软件、保护电脑安全、提高工作效率。除了文档保护、隐私保护,冰盾 · 主动防御系统还有更多不同类型的规则模板,比如进程保护、注册表拦截、网络防护等等。有需要的可以通过 https://imonitorsdk.com/idefender 下载了解更多。对于企业希望集成防御能力到自己的产品里面的,也可以通过接入iMonitorSDK来实现。发布于 2023-01-08 18:25・IP 属地广东勒索病毒网络安全赞同添加评论分享喜欢收藏申请
勒索病毒:原理与防御-腾讯云开发者社区-腾讯云
:原理与防御-腾讯云开发者社区-腾讯云用户8909609勒索病毒:原理与防御关注作者腾讯云开发者社区文档建议反馈控制台首页学习活动专区工具TVP最新优惠活动文章/答案/技术大牛搜索搜索关闭发布登录/注册首页学习活动专区工具TVP最新优惠活动返回腾讯云官网用户8909609首页学习活动专区工具TVP最新优惠活动返回腾讯云官网社区首页 >专栏 >勒索病毒:原理与防御勒索病毒:原理与防御用户8909609关注发布于 2024-01-20 10:25:081270发布于 2024-01-20 10:25:08举报文章被收录于专栏:BM CTFBM CTF一、勒索病毒概述勒索病毒,又称为Ransomware,是一种恶意软件,通过感染电脑系统、服务器或者手机等设备,使用户文件被加密,从而向用户索取赎金以解锁文件。近年来,勒索病毒已经成为网络安全领域的一大公害,给个人和企业带来了巨大的经济损失和数据泄露风险。二、勒索病毒原理勒索病毒的原理主要是利用加密技术来锁定用户文件。一旦感染,病毒会对用户文件进行加密,使用户文件无法正常打开和使用。同时,病毒会在屏幕上显示一条警告信息,要求用户支付赎金以解锁文件。勒索病毒通常通过电子邮件附件、恶意网站、下载的文件等方式传播。三、防御措施保持操作系统和软件的更新:及时更新操作系统、软件和安全补丁,可以有效防止勒索病毒的感染。更新操作系统和软件不仅可以修复安全漏洞,还可以提高系统安全性。安装杀毒软件:选择可靠的反病毒软件,并定期更新病毒库,可以有效检测和清除勒索病毒。杀毒软件可以对未知病毒进行防御和清除,保护系统免受攻击。
不要随意打开未知邮件和链接:不要随意打开未知邮件和链接,特别是那些附件和链接看似可疑的邮件。恶意邮件可能包含勒索病毒的下载链接或附件,打开这些邮件可能会导致感染。
定期备份重要文件:定期备份重要文件是一种有效的预防措施。即使感染了勒索病毒,也可以通过备份恢复文件。备份文件应该存储在外部硬盘、云存储或者只读媒体上,以避免备份文件被加密或损坏。
提高网络安全意识:提高网络安全意识,不轻信陌生邮件、链接和附件,可以有效降低感染勒索病毒的风险。同时,用户还应该了解网络安全的基本知识,例如如何识别恶意链接和附件、如何避免点击可疑广告等。
使用安全的网络连接:在公共场合使用网络时,应尽量避免使用未加密的连接方式,例如使用Wi-Fi时应该选择加密的Wi-Fi网络。同时,避免使用未经授权的Wi-Fi网络,因为这些网络可能会被黑客利用来感染用户的设备。
限制软件的权限:用户应该限制软件的权限,特别是那些需要访问个人数据的软件。过度的权限可能会导致软件被恶意利用,从而感染勒索病毒。
使用虚拟机或沙箱运行未知程序:对于未知程序或可疑文件,可以使用虚拟机或沙箱来运行它们。这样即使程序包含恶意代码,也不会对实际系统造成影响。
定期进行安全审计:定期进行安全审计可以及时发现系统中的安全漏洞和隐患。审计的内容可以包括系统日志、安全策略、软件更新等。
建立应急响应计划:建立应急响应计划可以帮助企业在感染勒索病毒后快速应对,减少损失。应急响应计划应该包括数据备份、系统恢复、信息共享等方面的内容。四、总结勒索病毒是一种严重的网络安全威胁,但通过采取有效的防御措施,可以有效地避免感染。保持操作系统和软件的更新、安装可靠的反病毒软件、不随意打开未知邮件和链接、定期备份重要文件和提高网络安全意识等措施都是预防勒索病毒的有效手段。同时,用户还应该了解勒索病毒的特点和传播途径,以便更好地预防和应对这种威胁。本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。 原始发表:2024-01-19,如有侵权请联系 cloudcommunity@tencent.com 删除前往查看网络安全加密软件系统原理本文分享自 作者个人站点/博客 前往查看如有侵权,请联系 cloudcommunity@tencent.com 删除。本文参与 腾讯云自媒体分享计划 ,欢迎热爱写作的你一起参与!网络安全加密软件系统原理评论登录后参与评论0 条评论热度最新登录 后参与评论推荐阅读LV.关注文章0获赞0相关产品与服务对象存储对象存储(Cloud Object Storage,COS)是由腾讯云推出的无目录层次结构、无数据格式限制,可容纳海量数据且支持 HTTP/HTTPS 协议访问的分布式存储服务。腾讯云 COS 的存储桶空间无容量上限,无需分区管理,适用于 CDN 数据分发、数据万象处理或大数据计算与分析的数据湖等多种场景。免费体验产品介绍产品文档COS新用户专享存储包低至1元,新老同享存储容量低至0.02元/GB/月,立即选购!
领券社区专栏文章阅读清单互动问答技术沙龙技术视频团队主页腾讯云TI平台活动自媒体分享计划邀请作者入驻自荐上首页技术竞赛资源技术周刊社区标签开发者手册开发者实验室关于社区规范免责声明联系我们友情链接腾讯云开发者扫码关注腾讯云开发者领取腾讯云代金券热门产品域名注册云服务器区块链服务消息队列网络加速云数据库域名解析云存储视频直播热门推荐人脸识别腾讯会议企业云CDN加速视频通话图像分析MySQL 数据库SSL 证书语音识别更多推荐数据安全负载均衡短信文字识别云点播商标注册小程序开发网站监控数据迁移Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档Copyright © 2013 - 2024 Tencent Cloud.All Rights Reserved. 腾讯云 版权所有登录 后参与评论00
勒索病毒 - 知乎
勒索病毒 - 知乎首页知乎知学堂发现等你来答切换模式登录/注册勒索病毒勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解…查看全部内容关注话题管理分享百科讨论精华视频等待回答简介勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。 2017年12月13日,“勒索病毒”入选国家语言资源监测与研究中心发布的“2017年度中国媒体十大新词语”。 2018年3月,国家互联网应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产和手机安全均造成严重威胁。更多信息中文名勒索病毒外文名Ransomware原理利用各种加密算法对文件进行加密性质不可逆解密病毒开发者本人警惕程度★★★★☆数据由搜狗百科提供查看百科全文 百科摘录32018企业网络安全年度报告 | 勒索病毒、挖矿木马是企业安全两大核心下的内容摘录埃文科技已认证账号勒索病毒,是2018年破坏性最强影响面最广的一类恶意程序,通常是通过恐吓、绑架用户文件或破坏用户计算机等方式,向用户勒索钱财。早期的勒索病毒通常是通过钓鱼邮件、社工等方式传播,通常传播规模量比较小,随着2017年NSA方程式工具泄露,“永恒之蓝”工具被大量利用,加之近年数字加密币的流行,勒索病毒感染正处于愈演愈烈的态势。知乎小知 摘录于 2020-04-24安恒信息:勒索病毒专防专杀组合拳下的内容摘录安恒信息勒索病毒,是一种新型 电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。勒索病毒利用各种非对称加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。勒索病毒的变种很多,其恶意行为性质恶劣、危害极大,一旦感染之后未能及时处置的话,将给用户带来无法估量的损失。目前勒索病毒及其变种已经在各行各业泛滥,涉及国计民生的重要行业,比如医疗、交通、政府机构、重要企业等均能幸免。知乎小知 摘录于 2020-04-24如何看待 AI 换脸软件「ZAO」的爆火?下的回答内容摘录浩哥有料极客范儿的斜杠青年勒索病毒是目前为数不多的借助技术手段劫持用户、获取暴利的黑产手段,防治勒索病毒也是目前全球安全团队都在努力攻克的难题。对于普通民众来说,具备基本的网络安全意识是必不可少的,这是预防这类技术攻击最有效的手段。知乎小知 摘录于 2020-04-24浏览量4994 万讨论量5.6 万 帮助中心知乎隐私保护指引申请开通机构号联系我们 举报中心涉未成年举报网络谣言举报涉企侵权举报更多 关于知乎下载知乎知乎招聘知乎指南知乎协议更多京 ICP 证 110745 号 · 京 ICP 备 13052560 号 - 1 · 京公网安备 11010802020088 号 · 京网文[2022]2674-081 号 · 药品医疗器械网络信息服务备案(京)网药械信息备字(2022)第00334号 · 广播电视节目制作经营许可证:(京)字第06591号 · 服务热线:400-919-0001 · Investor Relations · © 2024 知乎 北京智者天下科技有限公司版权所有 · 违法和不良信息举报:010-82716601 · 举报邮箱:jubao@zhihu.
勒索病毒的原理、危害与防护 - FreeBuf网络安全行业门户
勒索病毒的原理、危害与防护 - FreeBuf网络安全行业门户
主站 分类
漏洞
工具
极客
Web安全
系统安全
网络安全
无线安全
设备/客户端安全
数据安全
安全管理
企业安全
工控安全
特色
头条
人物志
活动
视频
观点
招聘
报告
资讯
区块链安全
标准与合规
容器安全
公开课
报告 专辑 ···公开课···商城···
用户服务
··· 行业服务
政 府
CNCERT
CNNVD
会员体系(甲方)
会员体系(厂商)
产品名录
企业空间
知识大陆 搜索 创作中心 登录注册 官方公众号企业安全新浪微博 FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。 FreeBuf+小程序把安全装进口袋 勒索病毒的原理、危害与防护
关注
终端安全 勒索病毒的原理、危害与防护
2023-01-08 18:57:30
所属地 广东省
本文由 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
勒索病毒会导致严重的数据安全问题,让企业、个人的核心数据资产被完全加密,从而影响正常的生产、或者让一些业务系统完全不可用,间接造成了严重的经济损失。2017年,勒索病毒借助永恒之蓝漏洞,席卷全球,造成全球超过550亿元以上的损失,让无数企业闻风丧胆。很多安全厂商都马上推出各种针对勒索病毒的专杀工具、防护工具、解密工具,但时至今日,勒索病毒仍然经久不衰。一些人可能会问,勒索病毒这么厉害,是因为它很复杂,安全厂商没有研究透它吗?不,事实刚好相反,勒索病毒太过于简单了,简单到谁都可以轻易的实现一个勒索病毒。勒索病毒完全没有固定的特征,可以使用任何的开发语言实现(最新很多采用了Go、Rust这样的语言开发),或者直接基于PowerShell脚本就可以实现勒索病毒的效果。更甚者,直接通过压缩文件,压缩后删除源文件,也可以实现勒索病毒效果。勒索病毒大部分使用了非对称加密,即使把源码完全公开,也没有办法还原被加密的文件。正因为如此,网上甚至出现了很多开源勒索病毒,勒索病毒 as Service的概念,勒索病毒完全产业化,在利益驱动下,使得勒索病毒层出不穷。甚至有一些缺乏法律意识的人直接下载开源的勒索病毒,然后采用微信收款来实现勒索病毒的收款。勒索病毒的防护在目前的安全市场上,针对勒索病毒主要是两个方向的防护:针对勒索病毒的感染渠道来做防护及时安装补丁添加防火墙策略使用零信任网络增强边界防御针对勒索病毒本身的特点来做防护杀毒云引擎依赖海量数据采集能力,可以短时间内捕获到新型的勒索病毒,然后将特征同步给杀毒软件文档守护者在用户修改文件的时候,智能备份,在出现数据被加密后,可以通过备份恢复行为智能提醒在发现某些程序频繁操作文件后,弹框提醒让用户确认添加可信区域将计算机隔离成可信、不可信两个区域,保证数据只被可信区域的程序访问冰盾 · 主动防御系统为解决勒索病毒的问题,基于行为防御的冰盾专门针对勒索病毒添加了两个规则模板:文档保护可以保护匹配规则的文件只被信任的进程操作隐私保护可以保护匹配规则的文件只被信任的进程读取只需要简单添加需要保护的文件路径,然后添加允许操作这些文件的进程路径,就可以得到文档保护的目的。用户可以非常灵活的制定自己针对勒索病毒的防护解决方案,同时不会占用大量系统资源。特别是一些没法实时更新杀毒软件的内网环境、或者是需要长期运行的服务器环境。冰盾 · 主动防御系统【专业不流氓】是一款为专业人士打造的终端、主机主动防御系统,可以帮助您对抗流氓软件、保护电脑安全、提高工作效率。除了文档保护、隐私保护,冰盾 · 主动防御系统还有更多不同类型的规则模板,比如进程保护、注册表拦截、网络防护等等。有需要的可以通过 https://imonitorsdk.com/idefender 下载了解更多。对于企业希望集成防御能力到自己的产品里面的,也可以通过接入iMonitorSDK来实现。 # 网络安全 # 数据泄露 # 系统安全 # 数据安全 # 企业安全
已在FreeBuf发表 0 篇文章
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
展开更多
相关推荐
关 注 0 文章数 0 关注者
文章目录
勒索病毒的防护 冰盾 · 主动防御系统 本站由阿里云 提供计算与安全服务 用户服务 有奖投稿 提交漏洞 参与众测 商城 企业服务 安全咨询 产业全景图 企业SRC 安全众测 合作信息 斗象官网 广告投放 联系我们 友情链接 关于我们 关于我们 加入我们 微信公众号 新浪微博 战略伙伴 FreeBuf+小程序 扫码把安全装进口袋 斗象科技 FreeBuf 漏洞盒子 斗象智能安全平台 免责条款 协议条款
Copyright © 2020 WWW.FREEBUF.COM All Rights Reserved
沪ICP备13033796号
|
沪公安网备
勒索病毒的原理及防御措施
勒索病毒的原理及防御措施
Login
|
Registration
|
中文(简体)
Home
Journals
Articles
About
Network security technology & application
Title
Abstract
Keywords
Author
Affiliation(s)
DOI
All
Journal homepage
Introduction
Instructions for Authors
Back Issues
Network security technology & application
››
2023 , (02)
: 10-12.
勒索病毒的原理及防御措施
Author(s):
薛丹丹
1
;
王媛媛
2
;
卲一潇
1
;
郝娜
1
;
吴傲
1
Affiliation(s):
1 航天器在轨故障诊断与维修重点实验室
2 中国人民解放军95596部队
Classification number:
TP393.08
Cite this article
GB/T 7714
薛丹丹,王媛媛,卲一潇,郝娜,吴傲等.勒索病毒的原理及防御措施[J].网络安全技术与应用,2023(02):10-12.
MLA
薛丹丹, and 王媛媛, and 卲一潇, and 郝娜, and 吴傲. "勒索病毒的原理及防御措施."网络安全技术与应用,02(2023):10-12.
APA
薛丹丹, & 王媛媛, & 卲一潇, & 郝娜, & 吴傲. (2023)勒索病毒的原理及防御措施[J].网络安全技术与应用,(02),10-12.
Export
BibTeX
EndNote
RefMan
NoteFirst
NoteExpress
More formats
Abstract
本文从勒索病毒的概念出发,简要阐述了勒索病毒的攻击原理,估算了AES、RSA等勒索病毒常用加密算法的破解时间,通过客观的数据证明勒索病毒难以被破解的根本原因是破解勒索病毒需要耗费大量时间,对勒索病毒未来的发展趋势进行了说明,最后从勒索病毒的处置方法以及防范措施两个方面给出了建议。
Keywords
勒索病毒; 破解时间; 防御措施
Fulltext link
重庆维普
万方数据
中国知网
135
Read
add
Related articles
address: No.5 Yiheyuan Road, Haidian District, Beijing Post Code:100871
©2012-2023 北京大学 版权所有
Scan QR code on WeChat to share with friends
Advanced
Associator
Search Fields
Keywords
Title
Author
Affiliation(s)
Abstract
Keywords
DOI
Topic
All fields
Fuzzy
Accurate
AND
OR
NOT
Title
Author
Affiliation(s)
Abstract
Keywords
DOI
Topic
All fields
Fuzzy
Accurate
AND
OR
NOT
Title
Author
Affiliation(s)
Abstract
Keywords
DOI
Topic
All fields
Fuzzy
Accurate
AND
OR
NOT
Title
Author
Affiliation(s)
Abstract
Keywords
DOI
Topic
All fields
Fuzzy
Accurate
AND
OR
NOT
Title
Author
Affiliation(s)
Abstract
Keywords
DOI
Topic
All fields
Fuzzy
Accurate
Year
-
一文读懂勒索攻击:特征、趋势与挑战_腾讯新闻
一文读懂勒索攻击:特征、趋势与挑战_腾讯新闻
一文读懂勒索攻击:特征、趋势与挑战
作者
翟尤腾讯研究院产业安全中心主任、高级研究员
1989年,哈佛大学学生约瑟夫·L·波普制作了全球首个勒索病毒—AIDS木马,这位哈佛高材生将勒索病毒隐藏在软盘中并分发给国际卫生组织艾滋病大会的参会者。此款勒索病毒会记录用户设备重启次数,一旦超过90次就会对电脑中的文件进行加密,并要求邮寄189美元才能解密重新访问系统。虽然“名牌大学生恶作剧+邮寄支付赎金”的标签在今天看来既没有多大危害,也不够专业,但勒索病毒发起的对经济社会的攻击,在此后的30多年中逐渐演变为让人闻之色变的网络攻击浪潮。
勒索攻击从恶作剧向
专业组织化网络攻击演变
勒索攻击又称为“赎金木马”,是指网络攻击者通过对目标数据强行加密,导致企业核心业务停摆,以此要挟受害者支付赎金进行解密。如同我们把钱放在保险箱,小偷没有撬开保险箱偷钱,反而把放保险箱的房间加了把锁。如果没有房间的钥匙,我们依然拿不到保险箱里的钱。勒索攻击发展历程并不长,在30多年的发展过程中,主要经历三个阶段:1989至2009年是勒索攻击的萌芽期,在这20年中,勒索攻击处于起步阶段,勒索攻击软件数量增长较为缓慢,且攻击力度小、危害程度低。2006年我国首次出现勒索攻击软件。2010年以后,勒索软件进入活跃期,几乎每年都有变种出现,其攻击范围不断扩大、攻击手段持续翻新。2013年以来,越来越多的攻击者要求以比特币形式支付赎金;2014年出现了第一个真正意义上针对Android平台的勒索攻击软件,标志着攻击者的注意力开始向移动互联网和智能终端转移。勒索攻击在2015年后进入高发期,2017年WannaCry勒索攻击在全球范围内大规模爆发,至少150个国家、30万名用户受害,共计造成超过80亿美元的损失,至此勒索攻击正式走入大众视野并引发全球关注。
勒索攻击典型特征与案例
近年来勒索攻击席卷全球,几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受到影响,可以说有互联网的地方就可能存在勒索攻击。2021年5月,美国17个州能源系统受到勒索攻击,导致美国最大的燃料管道运营商Colonial关闭约8851公里的运输管道,犯罪分子在短时间内获取了100G数据,并锁定相关服务器等设备数据,要求支付75个比特币作为赎金(相当于440万美元)。勒索攻击已经成为未来一段时期网络安全的主要威胁。总的来看,勒索攻击有4个显著特征:
(一) 隐蔽性强且危害显著
勒索攻击善于利用各种伪装达到入侵目的,常见的传播手段有借助垃圾邮件、网页广告、系统漏洞、U盘等。隐蔽性是勒索攻击的典型攻击策略。在入口选择上,攻击者以代码仓库为感染位置对源代码发动攻击;在上线选择上,宁可放弃大量的机会也不愿在非安全环境上线;在编码上,高度仿照目标公司的编码方式和命名规范以绕过复杂的测试、交叉审核、校验等环节。此外,攻击者往往在发动正式攻击之前就已控制代码仓库,间隔几个月甚至更长时间才引入第一个恶意软件版本,其潜伏时间之长再一次印证了勒索攻击的高隐蔽性。
调查发现,某些勒索攻击事件的制造者利用尚未被发现的网络攻击策略、技术和程序,不仅可以将后门偷偷嵌入代码中,而且可以与被感染系统通信而不被发现。这些策略、技术和程序隐藏极深且很难完全从受感染网络中删除,为攻击活动细节的调查取证和后续的清除工作带来巨大的挑战。此外,勒索攻击一般具有明确的攻击目标和强烈的勒索目的,勒索目的由获取钱财转向窃取商业数据和政治机密,危害性日益增强。
(二) 变异较快且易传播
目前活跃在市面上的勒索攻击病毒种类繁多呈现“百花齐放”的局面,而且每个家族的勒索病毒也处于不断地更新变异之中。2016年勒索软件变种数量达247个,而2015年全年只有29个,其变体数量比上一年同期增长了752%。变体的增多除了依赖先进网络技术飞速发展以外,还与网络攻击者“反侦查”意识的增强相关。很多勒索软件编写者知道安全人员试图对其软件进行“逆向工程”,从而不断改进勒索软件变体以逃避侦查。比如爆发于2017年的WannaCry,在全球范围蔓延的同时也迅速出现了新的变种——WannaCry 2.0,与之前版本的不同是,这个变种不能通过注册某个域名来关闭传播,因而传播速度变得更快。
(三) 攻击路径多样化
近年来越来越多的攻击事件表明,勒索攻击正在由被动式攻击转为主动式攻击。以工业控制系统为例,由于设计之初没有考虑到海量异构设备以及外部网络的接入,随着开放性日益增加,设备中普遍存在的高危漏洞给了勒索攻击以可乘之机,一旦侵入成功即可造成多达数十亿台设备的集体沦陷。随着远程监控和远程操作加快普及并生产海量数据,网络攻击者更容易利用系统漏洞发动远程攻击,实现盗取数据、中断生产的目的。为了成功绕过外部安装的防火墙等安全设施,不少勒索攻击诱导企业内部员工泄露敏感信息。除了针对运营管理中存在的薄弱环节,勒索攻击还在设备安装过程中利用内置漏洞进行横向渗透,一旦发现系统已有漏洞则立即感染侵入。
(四) 攻击目标多元化
一方面是从电脑端到移动端。勒索病毒大多以电脑设备为攻击目标,其中Windows操作系统是重灾区。但随着移动互联网的普及,勒索攻击的战场从电脑端蔓延至移动端,并且有愈演愈烈的趋势。俄罗斯卡巴斯基实验室检测发现,2019年针对移动设备用户个人数据的攻击达67500个,相比2018年增长了50%。同年卡巴斯基移动端产品共检测到350多万个恶意安装软件包,近7万个新型移动端银行木马和6.8万多个新型移动端勒索软件木马。
另一方面是从个人用户到企业设备。个人设备在勒索软件攻击目标中一直占据较高比例,但随着传统勒索软件盈利能力的持续下降,对更高利润索取的期待驱使网络攻击者将目标重点聚焦在政府或企业的关键业务系统和服务器上。比如在今年7月16日发生的国家级勒索事件中,厄瓜多尔最大网络运营商CNT遭遇勒索软件RansomEXX的攻击,致使其业务运营、支付门户及客户支持全部陷入瘫痪,犯罪团伙声称已经取得190GB的数据,并在隐藏的数据泄露页面上分享了部分文档截图。
随着AI、5G、物联网等技术的快速普及和应用,以及加密货币的持续火爆,勒索攻击呈现出持续高发态势,全球大量知名企业都曾遭到勒索攻击并导致经济和声誉损失。据《2020年我国互联网网络安全态势综述》统计,2020年我国全年捕获勒索病毒软件78.1万余个,较2019年同比增长6.8%。据Cybersecurity Adventure统计,2021年全球勒索软件破坏成本预计将达到200亿美元,高于2015年3.25亿美元的61倍。
勒索攻击7大趋势特点
(一) 影响社会正常运转且难解密
勒索攻击对社会正常运转带来较大挑战。在民生方面,大型企业遭到勒索攻击严重影响民众正常生活。2021年5月全球最大的肉类供应商JBS遭到勒索病毒攻击,部分牛羊屠宰加工厂停摆,美国肉类批发价格出现上涨,使得本就受到疫情冲击的全球食品供应链雪上加霜。在医疗卫生方面,勒索攻击不但造成巨额经济损失,同时也威胁到病人生命安全。2020年9月,德国杜塞尔多夫医院30多台内部服务器遭到勒索攻击,一位前来寻求紧急治疗的妇女被迫转送至其他医院后死亡。这是公开报道的第一起因勒索攻击导致人死亡的事件。国内也出现过类似的勒索攻击事件,如某建筑设计院遭遇勒索病毒攻击,数千台电脑文件被加密,工程图纸无法访问,损失惨重。
勒索攻击使用的加密手段越来越复杂多样,绝大多数不能被解密。业内专家普遍认为遭受勒索攻击之后,没有“特效药”。受害者往往需要在支付巨额赎金和数据恢复重建中做出选择。即使一些勒索攻击采用的加密算法是公开的,但是依靠现有的算力或者是通过暴力破解的方式也难以进行解密,因为暴力解密往往需要上百年的时间。
(二) 勒索攻击SaaS化
随着云计算、人工智能等新技术的快速普及和应用,勒索软件即服务成为当前网络攻击的新模式。勒索软件黑色产业层级分明,全链条协作,开发者只管更新病毒,拓展传播渠道大肆释放勒索病毒,各级分销参与者点击鼠标就能从中瓜分利润。这种黑色产业分销模式大大降低了勒索攻击的传播门槛,使网络安全风险快速扩散。例如,依靠这种黑产模式,某勒索攻击软件仅用一年多时间就敛财20亿美元。
勒索攻击从制作、传播、攻击到收益呈现系统化、便捷化趋势,开发者可以提供一整套解决方案,甚至包括利用加密货币进行赎金支付等服务。这些解决方案具有“开箱即用”的便捷性,犯罪分子获得勒索病毒后,可以通过多种渠道进行传播并获利,攻击模式更为便捷。此外,攻击者往往并不需要任何编程技术就可以开展违法犯罪活动,理论上任何人只要支付少量费用就可以通过这类服务开展勒索攻击,导致网络攻击的门槛大幅降低。
(三) 加密货币普及助推赎金额度快速增长
勒索病毒的制造者对赎金的要求越来越高。2017年在全球140多个国家和地区迅速蔓延的WannaCry勒索病毒赎金仅为300美元,4年后勒索病毒要求企业支付的赎金则大多在上百万美元, Sodinokibi勒索病毒在2019年前后出现在中国时,索要金额仅7000元人民币,到了2020年,该团伙的勒索金额已动辄千万美元以上。例如2020年3月,计算机巨头宏碁公司被要求支付5000万美元赎金;2020年11月,富士康墨西哥工厂被要求支付超过3400万美元赎金。
高额赎金不仅让犯罪分子赚得盆满钵满,同时可以借此招揽更多人铤而走险加入勒索攻击行列。加密货币近年来成为社会关注的焦点,尤其是加密货币的匿名化导致监管部门很难对其进行管理。犯罪分子利用加密货币这一特点,有效隐匿其犯罪行径,导致网络攻击门槛降低、变现迅速、追踪困难,一定程度上成为网络犯罪快速增长的“助推剂”。
(四) 大型企业和基础设施成为攻击重点
传统勒索病毒攻击者使用广撒网、误打误撞的手法,这种无差别攻击很难预测受害者是谁,哪些受害者有价值。同时,普通用户的数据价值相对不高,且缴纳赎金的意愿并不强烈。近年来,勒索攻击对象涉及面越来越广,目前主要针对掌握大量数据的大型企业,且定向精准攻击趋势愈发明显,勒索攻击日趋APT化。所谓APT化,即攻击不计成本、不择手段,从低权限帐号入手,持续渗透攻击,直到控制企业核心服务器,再释放勒索病毒,使巨型企业彻底瘫痪。此外,勒索攻击APT化还意味着攻击者入侵后会首先窃取该企业的核心数据,即使企业使用备份恢复系统,核心机密泄露也会导致极其严重的损失。波音公司、台积电、富士康、全球最大的助听器制造商Demant、法国最大商业电视台M6 Group都曾成为被攻击对象。BlackFog研究发现,2020年勒索攻击主要针对政府部门、制造业、教育和医疗保健等行业。
同时,攻击者开始针对特定企业有针对性地制定攻击策略,哪些企业掌握大量有价值的数据,哪些企业就越容易遭到攻击。针对目标企业,攻击者手法更加多样化、对高价值目标的攻击进行“量身定做”,形成一整套攻击“组合拳”。对于大型企业来讲,网络节点和上下游关联企业与供应商都成为潜在的攻击漏洞,产业链中安全薄弱环节均成为攻击者实现突破的关键点。许多企业为了避免业务被中断,往往选择支付巨额赎金。
(五) “双重勒索”模式引发数据泄露风险
时至今日,勒索攻击已经从单纯的支付赎金即可恢复被加密的数据,逐渐演变成先窃取商业信息和内部机密,而后威胁企业不缴纳赎金将公开数据,这种新模式也被称为“双重勒索”。这样一来,不仅使得勒索攻击杀伤性增强,被勒索企业缴纳赎金的可能性变大,诱使勒索攻击者发动更多攻击,而且极易引发大规模的行业内部数据泄露事件,使得受害企业同时承受数据公开、声誉受损、行政处罚等多重压力。
据不完全统计,自2019年11月首次公开报道勒索病毒窃取数据的事件以来,不到一年时间里,有超过20个流行勒索病毒团伙加入到数据窃取的行列中。以Maze(迷宫)勒索攻击为例,它不仅最先开始系统性地窃取数据,还以泄露数据相逼要挟用户缴纳赎金。越来越多的勒索事件表明,“双重勒索”模式已成为现今网络攻击者实施攻击的重要手段。
(六) 供应链成为勒索攻击的重要切入点
供应链攻击作为一种新型攻击手段,凭借自身难发现、易传播、低成本、高效率等特点成功跻身最具影响力的高级威胁之列。供应链攻击一般利用产品软件官网或软件包存储库等进行传播,网络攻击一旦成功攻陷上游开发环节的服务器,便会引发连锁效应,波及处于供应链中下游的大量企业、政府机构、组织等。由于被攻击的应用软件仍然来自受信任的分发渠道,恶意程序将随着软件的下载安装流程悄无声息地入侵目标电脑,逃避传统安全产品检查的同时又可沿供应链发动向后渗透攻击,大大增加安全检测的难度。
近年来供应链攻击备受关注。2017年6月一家不知名的乌克兰软件公司遭受勒索攻击,勒索病毒通过软件公司服务器传播到数家全世界最大的企业之中,令其运营陷入瘫痪,造成全球范围内约100亿美元的损失。2021年7月,美国软件开发商Kaseya遭勒索攻击,网络攻击团伙索要高达7000万美元的赎金,有评论称此次事件可能成为2021年影响最大的供应链攻击事件。
(七) 引发网络保险行业的恶性循环
美国战略与国际研究中心与杀毒软件供应商迈克菲联合发布的一份报告指出,估计每年全球网络攻击所带来的损失将达9450亿美元,再加上约1450亿美元的网络防护支出费用,总经济成本将超过1万亿美元。高额的网络攻击成本催生了对网络风险保险的庞大需求市场,根据预测,到2025年网络风险保险费用将从2016年的32.5亿美元上升到200亿美元。伦敦再保险经纪商Willis Re透露,今年7月保单更新季,网络安全相关保险费率将迎来40%的大幅增长。
然而网络保险行业欣欣向荣的表象下,却潜藏着巨大的恶性循环危机。由于最近几个月来全球几大公司接连遭到灾难性的勒索攻击,越来越多的企业向网络保险和再保险公司寻求帮助,网络攻击者特意挑选投保了网络保险的公司作为攻击目标,更加有针对性地实施勒索攻击,使得网络犯罪的成功率大幅提升,整体网络环境面临加速恶化的窘境。为遏制这一情况的继续恶化,已有多家公司开始缩减网络保险覆盖范围,法国正在考虑强制所有网络保险商停止报销赎金支出,以切断网络犯罪这一有利可图的途径。
提高预防意识并
构建前置安全是关键
由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性,并不建议将防治重点放在遭受攻击后的解密环节,而应该着重做好预防工作,不给勒索病毒以可乘之机。
从个人用户来讲,增强员工安全意识与加强数据备份同等重要:一方面要增强安全意识。对于可疑的邮件尤其是附带的网址不建议随意点开,同时系统提示的安装补丁或者软件病毒库要保持及时更新。另一方面,对于使用了非对称加密算法加密的文件,目前尚未找到有效的破解方法,一旦计算机遭到此类新型勒索病毒的攻击只能束手待毙,因而必须在平日里就做好重要数据的备份工作,且最好使用本地磁盘和云服务器双备份的策略。
从企业用户来讲,解决勒索攻击的核心是构建“安全能力前置”,提升自身的“免疫力”:
1.“安全能力前置”成为企业必选项。企业数字化程度越高,潜在的安全风险也就越大,甚至会有致命风险。被动防御性的安全思路难以应对多样化、动态化的网络攻击。因此,一方面要利用AI、大数据、云计算等新技术实现安全能力在业务环节的前置,提前预判潜在安全风险,另一方面要对安全专家或人才能力量化,使过往积累的安全经验与能力标准化、流程化,以实现安全能力的量化部署。
2.构建云上安全提升安全防御能力。产业互联网时代安全威胁逐步扩大,企业在应对勒索攻击时,数据备份和恢复的重要性进一步凸显。云原生安全所具备的开箱即用、自适应等显著优势将成为保障云平台和云上业务安全的重要基础。一方面云原生安全将构建安全服务全生命周期防护,伴随云上业务发展全过程。另一方面云上安全产品将向模块化、敏捷化和弹性化演进,为用户提供差异化服务,成为兼顾成本、效率和安全的“最优解”。
3.零信任有望成为勒索攻击有效解决途径。零信任假定所有身份、设备和行为都是不安全的,即使曾经有过被“信任”的经历也要一视同仁,在接入时需要进行全程安全验证和检查。攻击者使用窃取到的账号信息登录VPN或其他内部业务平台时,由于零信任采用多因子用户验证(即只有账号密码还不够,需要配合短信验证码、token、人脸识别等),即使攻陷了企业的一台服务器,也无法致使勒索攻击扩散到其他服务器。零信任体系还能有效阻止黑客入侵后在内网扩散。攻击者可能控制某些脆弱的单点,当其通过已攻击的终端向网络内部更重要系统渗透时,零信任的安全机制可以及时检测到风险,从而帮助企业将风险控制在最小限度,不至于发生全网崩溃的严重后果。
4. 打好保障供应链安全的“组合拳”。一方面,须加强代码审计与安全检查。机构组织可向供应商索要清单,列明其使用的所有代码组件,以识别与开源组件漏洞有关的潜在风险。此外还可以考虑在实施代码前,增加额外的自动化或手工检查,并利用第三方工具对软件及相关产品源代码进行详细的安全分析。另一方面,加快推动建立零信任架构等安全防护机制。供应链攻击暴露出网络安全架构最大的缺陷就是过于信任。而零信任架构意味着每个试图访问网络资源的人都要进行验证,其访问控制不仅能应用于用户,也适用于服务器设备与各类应用,以防止第三方供应商获得不必要的特权,从而降低恶意软件的渗透风险。
近期全球典型勒索攻击汇总表
数据来源:公开信息整理
参考文献:
[1]张晓玉,陈河.从SolarWinds事件看软件供应链攻击的特点及影响[J].网信军民融合,2021(04):37-40.
[2].瑞星2020年中国网络安全报告[J].信息安全研究,2021,7(02):102-109.
[3]李江宁,覃汐赫.工业领域的勒索攻击态势与应对思路[J].自动化博览,2021,38(01):86-90.
[4]张宝移.计算机勒索病毒及防治策略分析[J].技术与市场,2020,27(10):109-110.
[5]高红静.近年勒索软件威胁分析及防范策略综述[J].保密科学技术,2018(12):21-28.
[6]李易尚.勒索软件:过去、现在和未来[J].北京警察学院学报,2017(06):99-104.
[7]李建平.供应链安全:防不胜防的软肋[J].保密工作,2021,(04):58-59.
[8]嵇绍国.2020年勒索软件攻击情况及趋势预测[J].保密科学技术,2020(12):33-43.
[9]2021上半年勒索病毒趋势报告及防护方案建议,南方都市报,2021-5-10
[10] 门嘉平.勒索病毒防治策略浅析[J].网络安全技术与应用,2020(06):23-24.
[11]吴崇斌,成星恺.勒索软件发展现状及应对[J].通讯世界,2019,26(08):111-112.
[12].盘点2019年勒索病毒灾难事件[J].电脑知识与技术(经验技巧),2019(12):88-90.
打击勒索攻击,
扫码参与H5小游戏
测试你是哪种类型的极客?
/往期文章
你“在看”我吗?
勒索病毒原理及防范措施 - 知乎
勒索病毒原理及防范措施 - 知乎切换模式写文章登录/注册勒索病毒原理及防范措施凌启数据恢复专业应急处理勒索病毒解密,具备一支资深网络救援团队【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。发布于 2023-05-18 15:11・IP 属地海南勒索病毒网络安全数据恢复赞同 2添加评论分享喜欢收藏申请
勒索病毒的原理和防范机制研究_勒索软件防护原理是什么-CSDN博客
>勒索病毒的原理和防范机制研究_勒索软件防护原理是什么-CSDN博客
勒索病毒的原理和防范机制研究
最新推荐文章于 2024-01-19 18:17:45 发布
图书馆415章若楠
最新推荐文章于 2024-01-19 18:17:45 发布
阅读量1.1w
收藏
77
点赞数
9
分类专栏:
学习笔记
文章标签:
web安全
网络安全
安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yrhych123/article/details/120431915
版权
学习笔记
专栏收录该内容
2 篇文章
0 订阅
订阅专栏
勒索病毒的原理和防范机制研究
什么是勒索病毒?近几年爆发的勒索病毒概况勒索病毒特征及危害勒索病毒通过什么方式入侵我们的电脑?勒索病毒的原理是什么?技术特点?现实生活中,我们该如何防范?小结
什么是勒索病毒?
【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。 【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。 【密码学技术】这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。 【喜好攻击对象】这种病毒很精明,一般很少入侵个人电脑,主要针对的是企业用户,原因是成本低,回报高。由于这把锁的钥匙只有攻击你的人才拥有,所以很多被攻击的企业为了找回自己的数据资料不得不支付动辄千万的赎金。与其他机构相比,医院的信息系统也比较有特殊性,如其中的医学记录、数据、病患资料以及预约信息等,都属于需要紧急使用的信息,被加密后,会造成比较大的影响,所以势必会想尽办法以最快速度恢复数据,比如,马上交赎金。所以常常看到勒索病毒的优先攻击对象往往是一些医院、企业、政府、高校、银行。
什么是挂马? :挂马是木马的一种传播方式。话句话说,木马是一种恶意软件,而挂马是使该软件进入用户电脑的途径之一。其中网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马,再上到空间里面!再加代码使得木马在打开网页时运行!
近几年爆发的勒索病毒概况
1、2017年5月,一种名为“想哭”(WannaCry)的勒索病毒袭击全球150多个国家和地区,30万名用户,近百个国家的政府、高校、医院等机构及个人的计算机收到感染,恶意加密用户个人文件,以解密诉求为由索要赎金,引发了迄今为止网络世界最大的安全危机。 2、2017年6月,欧洲、北美地区多个国家遭到新型勒索病毒“Petya”攻击。乌克兰受害严重,其政府部门、国有企业相继“中招”,多国的政府、银行、电力系统、通讯系统等多个行业均受到不同程度的影响。 3、2017年10月,俄罗斯、乌克兰等国遭到勒索病毒“坏兔子”攻击。乌克兰敖德萨国际机场、首都基辅的地铁支付系统及俄罗斯三家媒体中招,德国、土耳其等国随后也发现此病毒。 4、2018年2月,多家互联网安全企业截获了“Mind Lost”勒索病毒。 5、2018年2月,中国内便再次发生多起勒索病毒攻击事件。经腾讯企业安全分析发现,此次出现的勒索病毒正是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命为.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等扩展名,并通过邮件来告知受害者付款方式,使其获利更加容易方便。 6、2018年3月,有杀毒软件厂商表示,他们监测到了“麒麟2.1”的勒索病毒。 7、2018年3月,国家互联网应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产和手机安全均造成严重威胁。 8、从2018年初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击,攻击次数高达1700万余次,且整体呈上升趋势。 9、2018年12月,火绒安全团队曝光了一个以微信为支付手段的勒索病毒在国内爆发。几日内,该勒索病毒至少感染了10万台电脑,通过加密受害者文件的手段,已达到勒索赎金的目的,而受害者必需通过微信扫一扫支付110元赎金才能解密。 10、2018年12月,平安东莞账号证实“12.05”特大新型勒索病毒案已被侦破,根据上级公安机关“净网安网2018”专项行动有关部署,近日,东莞网警在省公安厅网警总队的统筹指挥,24小时内火速侦破“12.05”特大新型勒索病毒破坏计算机信息系统案,抓获病毒研发制作者罗某某(男,22岁,广东茂名人),缴获木马程序和作案工具一批。 11、2019年3月,瑞星安全专家发现通过发送恐吓邮件,诱使用户下载附件,导致重要文件被加密且无法解密的GandCrab5.2勒索病毒。 12、近日,国内很多公司都感染了后缀.file勒索病毒,甚至国内某个软件Saas云服务器全部沦陷,91数据恢复团队已经接到很多公司的求助,这些公司的服务器都因中毒感染.file后缀勒索病毒而导致公司业务停摆或耽误
勒索病毒特征及危害
以勒索病毒WannaCry为例。它与以前的勒索软件有非常明显的区别,具有蠕虫性质,特点和危害: 1、传播速度更快、传播范围更广。 2、全程自动化、攻击行为更隐蔽。 3、感染无法补救、危害程度深 什么是蠕虫性质? :蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。具有感染更强传播更快的特点。
勒索病毒通过什么方式入侵我们的电脑?
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
勒索病毒的原理是什么?技术特点?
勒索类病毒都利用了密码学中的公钥密码算法来加密文件。有的病毒使用RSA加密(比如WannaCry病毒),有的使用椭圆曲线加密(比如CTB Locker)。 WannaCry病毒利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染,并作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染,大范围超快速扩散。病毒母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播。此外,会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。病毒加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。
攻击流程图:
加密流程图:
密钥及加密关系:
现实生活中,我们该如何防范?
【企业防范】 1、在省一级以上的医院,将配备安全人员或相关预算(安全服务外包),可以定期做安全检测,相当于每年体检一次,知道问题在哪里,根据自己的产品部署安全或配备安全。 2、更改服务器口令:复杂度最好采用大小写字母、数字、特殊符号混合的组合结构、口令位数足够长(15位、两种组合以上),并且定期更换登录口令;服务器密码使用高强度和不规则密码,多台机器不使用相同或相似的口令,要求每个服务器使用不同的密码管理。 3、建立内部访问控制,建立服务器和工作站内部访问的相应控制,不需要互连需求,避免服务器在连接外部网络后被攻击,作为跳板被企业服务器攻击。 4、为安全专业人员部署云服务。我们不熟悉终端和服务器上的专业和安全保护软件。服务器可以考虑诸如不熟悉的腾讯云和专业安全保护功能等云服务。 【个人防范】 1、安全加固,对服务器和终端安装专业的安全防护软件;定期检测系统漏洞并修复,及时更新Flash、Java、以及一系列Web服务程序,打齐安全补丁。 2、保护你自己的文档,勒索病毒最想加密的是你的重要文件,所以平时注意备份,或者加密;对重要的数据、文件进行实时或定期备份,而且是异地备份。 3、关闭不必要的端口,默认情况下,许多端口对Windows开放,非法黑客可以通过这些端口连接到您的计算机。尽可能关闭445, 135, 139和其他不需要的端口,3389端口可以是白名单配置,只允许白名单的IP连接登录。 4、关闭不必要的文件共享。文件共享也有风险。如有必要,请使用ACL和强密码保护来限制访问权限,并禁用对共享文件夹的匿名访问。 5、不要点击陌生链接、来源不明的邮件附件,打开前使用安全扫描,确认安全性,尽量从软件管家或官网等可信渠道下载软件;要养成上网的良好习惯。
小结
网络安全的威胁来源和攻击手段不断变化,不是依靠几个病毒防护软件就可永保网络安全,而是需要树立动态、综合的防护理念。新的网络攻击必须要有新的核心技术才能应对,可信计算技术体系及其产品具有主动免疫、动态防御、快速响应等特点,可有效应对非预知病毒木马,改变网络攻击被动挨打,受制于人的局面,是建立网络空间主动免疫的安全防御体系的有利支撑。
优惠劵
图书馆415章若楠
关注
关注
9
点赞
踩
77
收藏
觉得还不错?
一键收藏
知道了
0
评论
勒索病毒的原理和防范机制研究
勒索病毒的原理和防范机制研究什么是勒索病毒?近几年爆发的勒索病毒概况勒索病毒特征及危害勒索病毒通过什么方式入侵我们的电脑?5、勒索病毒的原理是什么?技术特点?现实生活中,我们该如何防范?小结什么是勒索病毒?【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。【密码学技术】这种病
复制链接
扫一扫
专栏目录
2023年中国企业勒索病毒攻击态势分析报告
02-01
本次报告,从 2022 年 1 月至 2023 年 3 月的千余份网络安全应急响应分析报告中,甄选
出了 206 起造成重大破坏或严重损失的勒索病毒攻击典型事件的应急响应分析报告为研究
样本,分别从行业特征、攻击溯源、感染范围、病毒类型、攻击时长、攻击方式等方面展开
深度分析,并首次给出了勒索病毒攻击的生存曲线。同时,报告还结合勒索病毒的攻击特征,
深入分析了中招机构网络安全建设与运营方面的“通病”,为政企机构高效率的建设勒索病
毒防范体系提供了重要的参考依据。
Web安全深度剖析
07-23
资源名称:Web安全深度剖析资源截图:
资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
参与评论
您还未登录,请先
登录
后发表或查看评论
[图解] 勒索病毒加密原理
Qode
08-13
7910
示意图
原理
公开密钥密码体制 要求密钥成对出现,一个用于加密,另一个用于解密,并且且不可能从其中一个推导出另一个。
加密过程
病毒作者首先在自己电脑上生成的 私钥Q 和 公钥Q,算法可以基于RSA或者椭圆曲线。
病毒在目标电脑上随机生成 私钥Z 和 公钥Z
将用户电脑上的文件通过 公钥Z 加密
将用户电脑上的 私钥Z 通过 公钥Q 加密
删除用户电脑上的 私钥Z 、公钥Q、数据
解密过程
支付...
勒索病毒:原理与防御
最新发布
m0_73734159的博客
01-19
633
保持操作系统和软件的更新、安装可靠的反病毒软件、不随意打开未知邮件和链接、定期备份重要文件和提高网络安全意识等措施都是预防勒索病毒的有效手段。勒索病毒,又称为Ransomware,是一种恶意软件,通过感染电脑系统、服务器或者手机等设备,使用户文件被加密,从而向用户索取赎金以解锁文件。提高网络安全意识:提高网络安全意识,不轻信陌生邮件、链接和附件,可以有效降低感染勒索病毒的风险。保持操作系统和软件的更新:及时更新操作系统、软件和安全补丁,可以有效防止勒索病毒的感染。
勒索病毒的原理和防御学习说明资料
08-28
勒索病毒的原理和防御
深入剖析NGINGX
01-31
深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX
勒索软件的原理
m0_62063669的博客
08-04
1635
算法,将受害者本地生成的RSA私钥进行了加密。通过这两步,只有作者使用自己私钥解密受害者RSA私钥后,受害者才能还原到本地AES密钥,从而使用AES算法解密文件。2. 借杀毒软件之名,假称在用户系统发现了安全威胁,令用户感到恐慌,从而购买所谓。会伪装成反病毒软件,谎称在用户的系统中发现病毒,诱骗用户付款购买。勒索软件攻破企业网络之后,如果顺利获取重要数据,就会进入下一环节,但如果没有。3. 计算机屏幕弹出的提示消息,称用户文件被加密,要求支付赎金。用户文档,只有在用户支付赎金后,才提供解密文档的方法。...
勒索病毒的原理与防范
2302_76601220的博客
11-17
359
什么是勒索病毒?
【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。
【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
【密码学技术】这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
【喜好攻击对象】这种病毒很精明,一般很少入侵个人电脑,主要针对的是企业用户,原因是成本低,
勒索软件工作原理
NewTyun的博客
06-06
829
新钛云服已累计为您分享646篇技术干货勒索软件的工作原理是通过非对称加密方法加密用户的文件。勒索软件是一种恶意软件,也称为恶意软件,勒索软件通过攻击用户的计算机或设备来工作,并通过加密来阻止他们访问其文件。然后,攻击者要求金钱以换取解密文件。勒索软件可以通过多种方式攻击和加密文件,这些方法具有不同程度的复杂性。勒索软件如何获得访问权限与所有恶意软件一样,勒索软件必须绕过设...
应急响应二 - 后门分析&勒索病毒&攻击
acepanhuan的博客
04-01
855
应急响应二 - 后门分析&勒索病毒&攻击
医疗行业勒索病毒防范.pdf
08-08
医疗行业网络安全形势
勒索病毒介绍
勒索病毒处置解决方案
结语
计算机病毒与木马程序剖析
04-09
对计算机病毒和木马的内核和技术进行详细的描述
TensorFlow 内核剖析
12-21
TensorFlow 内核剖析
勒索病毒应急措施及防护方案.pptx
09-08
勒索病毒产业链
病毒勒索五大形式
常见的勒索病毒
勒索病毒攻击手段
勒索病毒中毒特征
勒索病毒自救措施
加强管理制度建设预防勒索病毒
勒索病毒立体防护解决方案
勒索病毒立体防护方案用户收益
OptiSystem剖析.pdf
05-29
OptiSystem中文实例介绍
勒索病毒的刨析与防范.pptx
12-02
勒索病毒原理 勒索病毒的发展和进化 勒索病毒常见传播方式 勒索病毒内网传播方式 勒索病毒的特点和挑战 勒索病毒应急处置与加固
关于预防勒索病毒的应急防范措施.pdf
09-15
关于预防勒索病毒的应急防范措施。
勒索病毒防范
12-06
如何防范勒索病毒,如何关闭135、137、138、139、445端口
公有云防勒索病毒原理
08-25
公有云防勒索病毒的原理是通过配置安全组和云防火墙来过滤流量,从而提供对云主机的保护。安全组配置在云主机的虚拟网卡上,安全组规则对云主机的东西向和南北向流量生效。而云防火墙配置在VPC的流量统一出口处,对VPC内云主机的南北向和跨子网流量生效。通过在安全组和云防火墙中添加白名单规则,可以允许云主机之间的通信。如果其中一个没有相应放通的规则,可能会影响云主机之间的通信。因此,在使用公有云时,配置安全组和云防火墙是保护云主机免受勒索病毒侵害的重要措施。123
#### 引用[.reference_title]
- *1* *2* *3* [移动云产品工作记录](https://blog.csdn.net/ximenjianxue/article/details/113573443)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"]
[ .reference_list ]
“相关推荐”对你有帮助么?
非常没帮助
没帮助
一般
有帮助
非常有帮助
提交
图书馆415章若楠
CSDN认证博客专家
CSDN认证企业博客
码龄5年
暂无认证
2
原创
117万+
周排名
40万+
总排名
1万+
访问
等级
31
积分
6
粉丝
10
获赞
1
评论
81
收藏
私信
关注
热门文章
勒索病毒的原理和防范机制研究
11647
Web安全学习记录(一)
1507
分类专栏
学习笔记
2篇
最新评论
Web安全学习记录(一)
我是榜样:
写的什么东西
您愿意向朋友推荐“博客详情页”吗?
强烈不推荐
不推荐
一般般
推荐
强烈推荐
提交
最新文章
Web安全学习记录(一)
2021年2篇
目录
目录
分类专栏
学习笔记
2篇
目录
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
祝福语
请填写红包祝福语或标题
红包数量
个
红包个数最小为10个
红包总金额
元
红包金额最低5元
余额支付
当前余额3.43元
前往充值 >
需支付:10.00元
取消
确定
下一步
知道了
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝
规则
hope_wisdom 发出的红包
实付元
使用余额支付
点击重新获取
扫码支付
钱包余额
0
抵扣说明:
1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。
余额充值
一文读懂勒索攻击:特征、趋势与挑战_腾讯新闻
一文读懂勒索攻击:特征、趋势与挑战_腾讯新闻
一文读懂勒索攻击:特征、趋势与挑战
作者
翟尤腾讯研究院产业安全中心主任、高级研究员
1989年,哈佛大学学生约瑟夫·L·波普制作了全球首个勒索病毒—AIDS木马,这位哈佛高材生将勒索病毒隐藏在软盘中并分发给国际卫生组织艾滋病大会的参会者。此款勒索病毒会记录用户设备重启次数,一旦超过90次就会对电脑中的文件进行加密,并要求邮寄189美元才能解密重新访问系统。虽然“名牌大学生恶作剧+邮寄支付赎金”的标签在今天看来既没有多大危害,也不够专业,但勒索病毒发起的对经济社会的攻击,在此后的30多年中逐渐演变为让人闻之色变的网络攻击浪潮。
勒索攻击从恶作剧向
专业组织化网络攻击演变
勒索攻击又称为“赎金木马”,是指网络攻击者通过对目标数据强行加密,导致企业核心业务停摆,以此要挟受害者支付赎金进行解密。如同我们把钱放在保险箱,小偷没有撬开保险箱偷钱,反而把放保险箱的房间加了把锁。如果没有房间的钥匙,我们依然拿不到保险箱里的钱。勒索攻击发展历程并不长,在30多年的发展过程中,主要经历三个阶段:1989至2009年是勒索攻击的萌芽期,在这20年中,勒索攻击处于起步阶段,勒索攻击软件数量增长较为缓慢,且攻击力度小、危害程度低。2006年我国首次出现勒索攻击软件。2010年以后,勒索软件进入活跃期,几乎每年都有变种出现,其攻击范围不断扩大、攻击手段持续翻新。2013年以来,越来越多的攻击者要求以比特币形式支付赎金;2014年出现了第一个真正意义上针对Android平台的勒索攻击软件,标志着攻击者的注意力开始向移动互联网和智能终端转移。勒索攻击在2015年后进入高发期,2017年WannaCry勒索攻击在全球范围内大规模爆发,至少150个国家、30万名用户受害,共计造成超过80亿美元的损失,至此勒索攻击正式走入大众视野并引发全球关注。
勒索攻击典型特征与案例
近年来勒索攻击席卷全球,几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受到影响,可以说有互联网的地方就可能存在勒索攻击。2021年5月,美国17个州能源系统受到勒索攻击,导致美国最大的燃料管道运营商Colonial关闭约8851公里的运输管道,犯罪分子在短时间内获取了100G数据,并锁定相关服务器等设备数据,要求支付75个比特币作为赎金(相当于440万美元)。勒索攻击已经成为未来一段时期网络安全的主要威胁。总的来看,勒索攻击有4个显著特征:
(一) 隐蔽性强且危害显著
勒索攻击善于利用各种伪装达到入侵目的,常见的传播手段有借助垃圾邮件、网页广告、系统漏洞、U盘等。隐蔽性是勒索攻击的典型攻击策略。在入口选择上,攻击者以代码仓库为感染位置对源代码发动攻击;在上线选择上,宁可放弃大量的机会也不愿在非安全环境上线;在编码上,高度仿照目标公司的编码方式和命名规范以绕过复杂的测试、交叉审核、校验等环节。此外,攻击者往往在发动正式攻击之前就已控制代码仓库,间隔几个月甚至更长时间才引入第一个恶意软件版本,其潜伏时间之长再一次印证了勒索攻击的高隐蔽性。
调查发现,某些勒索攻击事件的制造者利用尚未被发现的网络攻击策略、技术和程序,不仅可以将后门偷偷嵌入代码中,而且可以与被感染系统通信而不被发现。这些策略、技术和程序隐藏极深且很难完全从受感染网络中删除,为攻击活动细节的调查取证和后续的清除工作带来巨大的挑战。此外,勒索攻击一般具有明确的攻击目标和强烈的勒索目的,勒索目的由获取钱财转向窃取商业数据和政治机密,危害性日益增强。
(二) 变异较快且易传播
目前活跃在市面上的勒索攻击病毒种类繁多呈现“百花齐放”的局面,而且每个家族的勒索病毒也处于不断地更新变异之中。2016年勒索软件变种数量达247个,而2015年全年只有29个,其变体数量比上一年同期增长了752%。变体的增多除了依赖先进网络技术飞速发展以外,还与网络攻击者“反侦查”意识的增强相关。很多勒索软件编写者知道安全人员试图对其软件进行“逆向工程”,从而不断改进勒索软件变体以逃避侦查。比如爆发于2017年的WannaCry,在全球范围蔓延的同时也迅速出现了新的变种——WannaCry 2.0,与之前版本的不同是,这个变种不能通过注册某个域名来关闭传播,因而传播速度变得更快。
(三) 攻击路径多样化
近年来越来越多的攻击事件表明,勒索攻击正在由被动式攻击转为主动式攻击。以工业控制系统为例,由于设计之初没有考虑到海量异构设备以及外部网络的接入,随着开放性日益增加,设备中普遍存在的高危漏洞给了勒索攻击以可乘之机,一旦侵入成功即可造成多达数十亿台设备的集体沦陷。随着远程监控和远程操作加快普及并生产海量数据,网络攻击者更容易利用系统漏洞发动远程攻击,实现盗取数据、中断生产的目的。为了成功绕过外部安装的防火墙等安全设施,不少勒索攻击诱导企业内部员工泄露敏感信息。除了针对运营管理中存在的薄弱环节,勒索攻击还在设备安装过程中利用内置漏洞进行横向渗透,一旦发现系统已有漏洞则立即感染侵入。
(四) 攻击目标多元化
一方面是从电脑端到移动端。勒索病毒大多以电脑设备为攻击目标,其中Windows操作系统是重灾区。但随着移动互联网的普及,勒索攻击的战场从电脑端蔓延至移动端,并且有愈演愈烈的趋势。俄罗斯卡巴斯基实验室检测发现,2019年针对移动设备用户个人数据的攻击达67500个,相比2018年增长了50%。同年卡巴斯基移动端产品共检测到350多万个恶意安装软件包,近7万个新型移动端银行木马和6.8万多个新型移动端勒索软件木马。
另一方面是从个人用户到企业设备。个人设备在勒索软件攻击目标中一直占据较高比例,但随着传统勒索软件盈利能力的持续下降,对更高利润索取的期待驱使网络攻击者将目标重点聚焦在政府或企业的关键业务系统和服务器上。比如在今年7月16日发生的国家级勒索事件中,厄瓜多尔最大网络运营商CNT遭遇勒索软件RansomEXX的攻击,致使其业务运营、支付门户及客户支持全部陷入瘫痪,犯罪团伙声称已经取得190GB的数据,并在隐藏的数据泄露页面上分享了部分文档截图。
随着AI、5G、物联网等技术的快速普及和应用,以及加密货币的持续火爆,勒索攻击呈现出持续高发态势,全球大量知名企业都曾遭到勒索攻击并导致经济和声誉损失。据《2020年我国互联网网络安全态势综述》统计,2020年我国全年捕获勒索病毒软件78.1万余个,较2019年同比增长6.8%。据Cybersecurity Adventure统计,2021年全球勒索软件破坏成本预计将达到200亿美元,高于2015年3.25亿美元的61倍。
勒索攻击7大趋势特点
(一) 影响社会正常运转且难解密
勒索攻击对社会正常运转带来较大挑战。在民生方面,大型企业遭到勒索攻击严重影响民众正常生活。2021年5月全球最大的肉类供应商JBS遭到勒索病毒攻击,部分牛羊屠宰加工厂停摆,美国肉类批发价格出现上涨,使得本就受到疫情冲击的全球食品供应链雪上加霜。在医疗卫生方面,勒索攻击不但造成巨额经济损失,同时也威胁到病人生命安全。2020年9月,德国杜塞尔多夫医院30多台内部服务器遭到勒索攻击,一位前来寻求紧急治疗的妇女被迫转送至其他医院后死亡。这是公开报道的第一起因勒索攻击导致人死亡的事件。国内也出现过类似的勒索攻击事件,如某建筑设计院遭遇勒索病毒攻击,数千台电脑文件被加密,工程图纸无法访问,损失惨重。
勒索攻击使用的加密手段越来越复杂多样,绝大多数不能被解密。业内专家普遍认为遭受勒索攻击之后,没有“特效药”。受害者往往需要在支付巨额赎金和数据恢复重建中做出选择。即使一些勒索攻击采用的加密算法是公开的,但是依靠现有的算力或者是通过暴力破解的方式也难以进行解密,因为暴力解密往往需要上百年的时间。
(二) 勒索攻击SaaS化
随着云计算、人工智能等新技术的快速普及和应用,勒索软件即服务成为当前网络攻击的新模式。勒索软件黑色产业层级分明,全链条协作,开发者只管更新病毒,拓展传播渠道大肆释放勒索病毒,各级分销参与者点击鼠标就能从中瓜分利润。这种黑色产业分销模式大大降低了勒索攻击的传播门槛,使网络安全风险快速扩散。例如,依靠这种黑产模式,某勒索攻击软件仅用一年多时间就敛财20亿美元。
勒索攻击从制作、传播、攻击到收益呈现系统化、便捷化趋势,开发者可以提供一整套解决方案,甚至包括利用加密货币进行赎金支付等服务。这些解决方案具有“开箱即用”的便捷性,犯罪分子获得勒索病毒后,可以通过多种渠道进行传播并获利,攻击模式更为便捷。此外,攻击者往往并不需要任何编程技术就可以开展违法犯罪活动,理论上任何人只要支付少量费用就可以通过这类服务开展勒索攻击,导致网络攻击的门槛大幅降低。
(三) 加密货币普及助推赎金额度快速增长
勒索病毒的制造者对赎金的要求越来越高。2017年在全球140多个国家和地区迅速蔓延的WannaCry勒索病毒赎金仅为300美元,4年后勒索病毒要求企业支付的赎金则大多在上百万美元, Sodinokibi勒索病毒在2019年前后出现在中国时,索要金额仅7000元人民币,到了2020年,该团伙的勒索金额已动辄千万美元以上。例如2020年3月,计算机巨头宏碁公司被要求支付5000万美元赎金;2020年11月,富士康墨西哥工厂被要求支付超过3400万美元赎金。
高额赎金不仅让犯罪分子赚得盆满钵满,同时可以借此招揽更多人铤而走险加入勒索攻击行列。加密货币近年来成为社会关注的焦点,尤其是加密货币的匿名化导致监管部门很难对其进行管理。犯罪分子利用加密货币这一特点,有效隐匿其犯罪行径,导致网络攻击门槛降低、变现迅速、追踪困难,一定程度上成为网络犯罪快速增长的“助推剂”。
(四) 大型企业和基础设施成为攻击重点
传统勒索病毒攻击者使用广撒网、误打误撞的手法,这种无差别攻击很难预测受害者是谁,哪些受害者有价值。同时,普通用户的数据价值相对不高,且缴纳赎金的意愿并不强烈。近年来,勒索攻击对象涉及面越来越广,目前主要针对掌握大量数据的大型企业,且定向精准攻击趋势愈发明显,勒索攻击日趋APT化。所谓APT化,即攻击不计成本、不择手段,从低权限帐号入手,持续渗透攻击,直到控制企业核心服务器,再释放勒索病毒,使巨型企业彻底瘫痪。此外,勒索攻击APT化还意味着攻击者入侵后会首先窃取该企业的核心数据,即使企业使用备份恢复系统,核心机密泄露也会导致极其严重的损失。波音公司、台积电、富士康、全球最大的助听器制造商Demant、法国最大商业电视台M6 Group都曾成为被攻击对象。BlackFog研究发现,2020年勒索攻击主要针对政府部门、制造业、教育和医疗保健等行业。
同时,攻击者开始针对特定企业有针对性地制定攻击策略,哪些企业掌握大量有价值的数据,哪些企业就越容易遭到攻击。针对目标企业,攻击者手法更加多样化、对高价值目标的攻击进行“量身定做”,形成一整套攻击“组合拳”。对于大型企业来讲,网络节点和上下游关联企业与供应商都成为潜在的攻击漏洞,产业链中安全薄弱环节均成为攻击者实现突破的关键点。许多企业为了避免业务被中断,往往选择支付巨额赎金。
(五) “双重勒索”模式引发数据泄露风险
时至今日,勒索攻击已经从单纯的支付赎金即可恢复被加密的数据,逐渐演变成先窃取商业信息和内部机密,而后威胁企业不缴纳赎金将公开数据,这种新模式也被称为“双重勒索”。这样一来,不仅使得勒索攻击杀伤性增强,被勒索企业缴纳赎金的可能性变大,诱使勒索攻击者发动更多攻击,而且极易引发大规模的行业内部数据泄露事件,使得受害企业同时承受数据公开、声誉受损、行政处罚等多重压力。
据不完全统计,自2019年11月首次公开报道勒索病毒窃取数据的事件以来,不到一年时间里,有超过20个流行勒索病毒团伙加入到数据窃取的行列中。以Maze(迷宫)勒索攻击为例,它不仅最先开始系统性地窃取数据,还以泄露数据相逼要挟用户缴纳赎金。越来越多的勒索事件表明,“双重勒索”模式已成为现今网络攻击者实施攻击的重要手段。
(六) 供应链成为勒索攻击的重要切入点
供应链攻击作为一种新型攻击手段,凭借自身难发现、易传播、低成本、高效率等特点成功跻身最具影响力的高级威胁之列。供应链攻击一般利用产品软件官网或软件包存储库等进行传播,网络攻击一旦成功攻陷上游开发环节的服务器,便会引发连锁效应,波及处于供应链中下游的大量企业、政府机构、组织等。由于被攻击的应用软件仍然来自受信任的分发渠道,恶意程序将随着软件的下载安装流程悄无声息地入侵目标电脑,逃避传统安全产品检查的同时又可沿供应链发动向后渗透攻击,大大增加安全检测的难度。
近年来供应链攻击备受关注。2017年6月一家不知名的乌克兰软件公司遭受勒索攻击,勒索病毒通过软件公司服务器传播到数家全世界最大的企业之中,令其运营陷入瘫痪,造成全球范围内约100亿美元的损失。2021年7月,美国软件开发商Kaseya遭勒索攻击,网络攻击团伙索要高达7000万美元的赎金,有评论称此次事件可能成为2021年影响最大的供应链攻击事件。
(七) 引发网络保险行业的恶性循环
美国战略与国际研究中心与杀毒软件供应商迈克菲联合发布的一份报告指出,估计每年全球网络攻击所带来的损失将达9450亿美元,再加上约1450亿美元的网络防护支出费用,总经济成本将超过1万亿美元。高额的网络攻击成本催生了对网络风险保险的庞大需求市场,根据预测,到2025年网络风险保险费用将从2016年的32.5亿美元上升到200亿美元。伦敦再保险经纪商Willis Re透露,今年7月保单更新季,网络安全相关保险费率将迎来40%的大幅增长。
然而网络保险行业欣欣向荣的表象下,却潜藏着巨大的恶性循环危机。由于最近几个月来全球几大公司接连遭到灾难性的勒索攻击,越来越多的企业向网络保险和再保险公司寻求帮助,网络攻击者特意挑选投保了网络保险的公司作为攻击目标,更加有针对性地实施勒索攻击,使得网络犯罪的成功率大幅提升,整体网络环境面临加速恶化的窘境。为遏制这一情况的继续恶化,已有多家公司开始缩减网络保险覆盖范围,法国正在考虑强制所有网络保险商停止报销赎金支出,以切断网络犯罪这一有利可图的途径。
提高预防意识并
构建前置安全是关键
由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性,并不建议将防治重点放在遭受攻击后的解密环节,而应该着重做好预防工作,不给勒索病毒以可乘之机。
从个人用户来讲,增强员工安全意识与加强数据备份同等重要:一方面要增强安全意识。对于可疑的邮件尤其是附带的网址不建议随意点开,同时系统提示的安装补丁或者软件病毒库要保持及时更新。另一方面,对于使用了非对称加密算法加密的文件,目前尚未找到有效的破解方法,一旦计算机遭到此类新型勒索病毒的攻击只能束手待毙,因而必须在平日里就做好重要数据的备份工作,且最好使用本地磁盘和云服务器双备份的策略。
从企业用户来讲,解决勒索攻击的核心是构建“安全能力前置”,提升自身的“免疫力”:
1.“安全能力前置”成为企业必选项。企业数字化程度越高,潜在的安全风险也就越大,甚至会有致命风险。被动防御性的安全思路难以应对多样化、动态化的网络攻击。因此,一方面要利用AI、大数据、云计算等新技术实现安全能力在业务环节的前置,提前预判潜在安全风险,另一方面要对安全专家或人才能力量化,使过往积累的安全经验与能力标准化、流程化,以实现安全能力的量化部署。
2.构建云上安全提升安全防御能力。产业互联网时代安全威胁逐步扩大,企业在应对勒索攻击时,数据备份和恢复的重要性进一步凸显。云原生安全所具备的开箱即用、自适应等显著优势将成为保障云平台和云上业务安全的重要基础。一方面云原生安全将构建安全服务全生命周期防护,伴随云上业务发展全过程。另一方面云上安全产品将向模块化、敏捷化和弹性化演进,为用户提供差异化服务,成为兼顾成本、效率和安全的“最优解”。
3.零信任有望成为勒索攻击有效解决途径。零信任假定所有身份、设备和行为都是不安全的,即使曾经有过被“信任”的经历也要一视同仁,在接入时需要进行全程安全验证和检查。攻击者使用窃取到的账号信息登录VPN或其他内部业务平台时,由于零信任采用多因子用户验证(即只有账号密码还不够,需要配合短信验证码、token、人脸识别等),即使攻陷了企业的一台服务器,也无法致使勒索攻击扩散到其他服务器。零信任体系还能有效阻止黑客入侵后在内网扩散。攻击者可能控制某些脆弱的单点,当其通过已攻击的终端向网络内部更重要系统渗透时,零信任的安全机制可以及时检测到风险,从而帮助企业将风险控制在最小限度,不至于发生全网崩溃的严重后果。
4. 打好保障供应链安全的“组合拳”。一方面,须加强代码审计与安全检查。机构组织可向供应商索要清单,列明其使用的所有代码组件,以识别与开源组件漏洞有关的潜在风险。此外还可以考虑在实施代码前,增加额外的自动化或手工检查,并利用第三方工具对软件及相关产品源代码进行详细的安全分析。另一方面,加快推动建立零信任架构等安全防护机制。供应链攻击暴露出网络安全架构最大的缺陷就是过于信任。而零信任架构意味着每个试图访问网络资源的人都要进行验证,其访问控制不仅能应用于用户,也适用于服务器设备与各类应用,以防止第三方供应商获得不必要的特权,从而降低恶意软件的渗透风险。
近期全球典型勒索攻击汇总表
数据来源:公开信息整理
参考文献:
[1]张晓玉,陈河.从SolarWinds事件看软件供应链攻击的特点及影响[J].网信军民融合,2021(04):37-40.
[2].瑞星2020年中国网络安全报告[J].信息安全研究,2021,7(02):102-109.
[3]李江宁,覃汐赫.工业领域的勒索攻击态势与应对思路[J].自动化博览,2021,38(01):86-90.
[4]张宝移.计算机勒索病毒及防治策略分析[J].技术与市场,2020,27(10):109-110.
[5]高红静.近年勒索软件威胁分析及防范策略综述[J].保密科学技术,2018(12):21-28.
[6]李易尚.勒索软件:过去、现在和未来[J].北京警察学院学报,2017(06):99-104.
[7]李建平.供应链安全:防不胜防的软肋[J].保密工作,2021,(04):58-59.
[8]嵇绍国.2020年勒索软件攻击情况及趋势预测[J].保密科学技术,2020(12):33-43.
[9]2021上半年勒索病毒趋势报告及防护方案建议,南方都市报,2021-5-10
[10] 门嘉平.勒索病毒防治策略浅析[J].网络安全技术与应用,2020(06):23-24.
[11]吴崇斌,成星恺.勒索软件发展现状及应对[J].通讯世界,2019,26(08):111-112.
[12].盘点2019年勒索病毒灾难事件[J].电脑知识与技术(经验技巧),2019(12):88-90.
打击勒索攻击,
扫码参与H5小游戏
测试你是哪种类型的极客?
/往期文章
你“在看”我吗?