什么是勒索软件?
勒索软件首先是一种特殊的恶意软件。勒索软件的特殊之处在于,它采用技术手段限制受害者访问系统或系统内的数据(如文档、邮件、数据库、源代码等),并以此要挟受害者。受害者需要支付一定数量的赎金,才有可能重新取得数据控制权。这种攻击方式,被称为拒绝访问式攻击(denial-of-access attack)。
数据的重要性不言而喻。网络犯罪分子利用技术手段挟持用户数据作为"人质",以向个人或组织敲诈勒索钱财,效率高,获利快。因此可以说,勒索软件不仅是一种恶意软件,还是一种非常"成功"的网络犯罪商业模式。
任何组织和个人都可能成为勒索软件攻击的目标。网络犯罪分子可能无差别攻击,也可能针对更有价值的组织,如政府机构、医院等更有意愿支付赎金的组织,拥有敏感数据的机构。勒索软件不仅影响组织的正常运行,导致业务停滞或中断,还可能会泄露商业秘密,影响企业形象。企业为恢复业务运行支付赎金,还会带来直接的财务影响。受害企业可能会严重退步或者完全关闭。
反勒索软件指南手册PDF【下载】
https://mp.weixin.qq.com/s/475APtLhXv_g7Asmis0tBA
如何防御勒索软件?
阻止勒索软件攻击最有效的办法是防止攻击进入组织内部。
网络侧防护
防御勒索软件攻击的关键在于预防,即在勒索软件进入组织并造成实质性损坏之前,拦截攻击。 最佳方法是设置以防火墙为基础的多层安全防御体系,避免攻击者突破一层防御之后长驱直入。严格的安全策略是最简单有效的防护手段;仅对外开放必需的服务,封堵高危端口,可以减小暴露面(攻击面)。阻断已知威胁,通常可以使攻击者放弃攻击,否则攻击者就需要创建新的勒索软件,或者利用新的漏洞,其成本必然增加。同时,启用文件过滤,可以限制高风险类型文件进入网络;利用URL过滤阻断恶意网站,可以避免用户无意中下载恶意软件。在安全性要求较高的网络中,还可以部署FireHunter沙箱、HiSec Insight(原CIS产品)、诱捕系统,全面感知安全态势。
IPS、AV、URL过滤、沙箱联动等功能需要购买相应的License,具体请参考对应的产品文档。
IPS和AV依赖于及时更新的特征库,建议启用特征库自动更新和自动安装功能。如果防火墙不能连接公网,可通过代理服务器升级。
表1-1 分层防御体系
| 分层防御 | 配置建议 | 操作指导 |
|---|---|---|
| 通过严格的安全策略,限制用户对网络和应用的使用。 | 南北向安全策略:在网络边界处,设置严格的网络访问策略,仅对外开放必需的服务,且仅允许受信任IP地址/用户访问必要的服务。 | NA |
| 通过严格的安全策略,限制用户对网络和应用的使用。 | 东西向安全策略:把内部网络按照功能和风险等级划分到不同的安全区域,在不同功能网络间设置严格的安全策略。建议阻断高危端口(包括135、137、138、139、445、3389等)或限制可访问的用户,降低勒索软件横向扩散的可能性。在交换机和路由器等网络设备上,也可以利用流策略封堵高危端口。 注意: 封堵相关端口可能对正常业务造成影响,需要确认是否有相关业务承载在相关端口,避免正常业务受影响。 | 如何在防火墙上阻断高危端口 如何在交换机上阻断高危端口 |
| 通过严格的安全策略,限制用户对网络和应用的使用。 | 文件过滤:过滤指定类型的文件(包括所有可执行文件、网页文件、.vbs、vbe、.scr、.bat、.lnk等),避免高风险文件进入内网。建议阻断通过SMTP协议发送的高风险邮件附件,以及潜在的过路式下载。 | 如何在防火墙上阻断指定类型的文件 |
| 通过IPS、AV,发现和阻断已知威胁。 | IPS入侵防御:在安全策略中引用IPS配置文件,确保如下暴力破解和漏洞利用签名的动作为阻断。如果签名的缺省动作不是阻断,可以设置例外签名,修改其动作为阻断。 漏洞利用类:13830、18822、24550、284600、370090、372110、372130、372280、372290、372300、377950。缺省动作均为阻断。 暴力破解类:1000127、1000133、1000255、1000264。缺省动作均为告警,请添加例外签名。 | 如何在防火墙上配置IPS |
| 通过IPS、AV,发现和阻断已知威胁。 | AV反病毒:对于文件传输协议(HTTP、FTP)和共享协议(NFS、SMB),采用缺省动作。对于邮件协议,建议动作设置为宣告或删除附件。防火墙将在邮件中添加提示信息,提醒收件人附件中可能含有病毒。 | 如何在防火墙上配置AV |
| 通过IPS、AV,发现和阻断已知威胁。 | URL过滤:推荐使用白名单机制,根据组织业务需求,圈定业务需求所需的网站类型。如果采用白名单机制有困难,则至少要阻断恶意网站、其他类。同时,启用恶意URL检测功能。 | 如何在防火墙上阻断恶意URL |
| 通过沙箱联动,发现未知威胁。 | 沙箱联动并不能实时阻断恶意文件,而是通过反馈的结果应用到恶意URL检测和文件信誉检测中。 防火墙将流量还原成文件,并将需要检测的文件发送到沙箱进行检测。防火墙定期到沙箱上查询检测结果,并根据检测结果更新设备缓存中的恶意文件和恶意URL列表。当具有相同特征的后续流量命中恶意文件或恶意URL列表时,防火墙将直接阻断。 请开启恶意URL检测和文件信誉检测,并调整邮件协议的文件信誉检测动作为宣告或删除附件。 | 如何在防火墙上配置沙箱检测 |
| 通过HiSec Insight、诱捕,避免横向扩散。 | 部署HiSec Insight和支持诱捕特性的交换机和防火墙。诱导勒索病毒入侵仿真业务并捕获其入侵行为,上报检测结果至HiSec Insight,HiSec Insight可全网下发策略阻断勒索病毒传播。诱捕系统有助于降低真实系统被攻击的概率,最大限度减少损失。 | 请参考HiSec解决方案配套文档。 |
| 部署日志审计系统,用于调查取证和攻击溯源。 | 建议在重要服务器和关键网络设备上启用日志审计功能,并发送到日志审计系统。 日志审计系统可以集中存储和管理网络设备和服务器的日志信息,便于监控和事后分析。此外,攻击者还可能会加密或者删除主机日志,部署日志审计系统可以规避此问题。 | 请参考日志审计系统的产品文档。 |
主机侧防护
首先,推荐通过组织级的IT基础设施方案来统一设置主机。通过AD服务器的组策略、企业级杀毒软件的控制中心等,可以保证安全措施执行到位,而不必依赖员工个人的执行力。
其次是针对员工的信息安全教育。很多勒索软件使用电子邮件和社会工程手段,诱使员工下载恶意软件,或访问恶意网址。员工不为所动,就能避免激活携带的攻击媒介。通过信息安全宣传,培训员工养成良好的办公习惯,识别和防范典型的攻击手法,是避免勒索软件攻击的有效手段。
表1-2列出了主要的主机侧防护措施,其中大部分可以通过IT基础设施方案来统一管理。对于没有完善IT系统的小微企业,可以把这些措施转化为信息安全教育的内容,指导员工自行配置。
表1-2 主机侧防护措施
| 防护措施 | 实施说明 |
|---|---|
| 及时更新系统和软件补丁 | 软件更新通常包括针对新发现的安全漏洞的补丁,用于修复系统漏洞。及时更新操作系统、浏览器等软件补丁,可预防勒索软件利用已知漏洞攻击。 |
| 建议开启操作系统的自动更新功能。企业可通过组策略统一设置Windows系统更新策略。 | |
| 如果软件提供了自动更新选项,请开启。 | |
| 安装杀毒软件并及时更新病毒库 | 选择安装技术能力强的杀毒软件。传统的杀毒软件可能无法有效防御不断变化的勒索软件。建议选择具有行为检测、启发式检测功能的杀毒软件,因为它们更有可能检测到最新的勒索软件。 |
| 在杀毒软件中,设置退出密码或卸载密码,防止勒索软件关闭或卸载杀毒软件。 | |
| 建议开启病毒库的自动更新功能,以提升已知病毒的防御能力。主流杀毒软件企业版都可通过控制中心统一管理病毒库升级策略。 | |
| 定期备份重要数据 | 根据数据的重要程度,建立合适的数据备份策略,定期进行数据备份。 |
| 测试备份系统,保证数据备份成功,以便紧急情况下可以正常恢复数据,从而最大程度减少对业务的影响。 | |
| 建议采用"冷备份"方式备份重要数据。使用单独的文件服务器、移动硬盘等,备份完成后断开网络连接,实现物理隔离。 | |
| 如果您使用了云服务器(ECS),一定要及时创建快照。在发生系统故障、错误操作或勒索攻击时,可以使用快照回滚云盘,快速恢复数据,保证业务正常运行。 | |
| 设置并遵循密码策略 | 使用高复杂度密码,避免弱口令,可增加暴力破解的难度。密码应包含大小写英文字母、数字、特殊字符,密码长度不低于10个字符,不能包含用户名,避免使用电话号码、出生日期、工号等纯数字密码。 |
| 定期更换密码。不同服务器采用不同的密码。 | |
| 设置帐户锁定策略 | 设置帐户锁定策略,输入几次错误密码后锁定用户帐户一段时间,增加暴力破解难度。企业管理员可通过域控制器设置统一的帐户锁定策略。 |
| 设置主机防火墙策略 | 开启并设置主机防火墙策略,仅允许受信任IP地址访问特定服务。 |
| 关闭常见的高危端口。根据业务需要,关闭常见的高危端口(包括135、139、445、3389等),或设置可访问此端口的用户/计算机。 | |
| 避免对公网暴露RDP远程桌面服务等高风险应用。如确有必要,可通过VPN对外提供服务。 | |
| 阻止宏自动运行,谨慎启用宏 | 通过诱使用户启用宏来执行恶意代码,是常见的基于文件的勒索软件攻击手法。绝大部分情况下,正常的业务并不需要启用宏,因此建议阻止宏自动运行,并发出通知。谨慎对待宏禁用通知。仅在必要且文件来源可信时启用宏。 |
| 仅从指定位置下载软件 | 仅从官方网站或公司指定的供应商获取应用软件,不要访问不可信的软件下载网站。 |
| 不要打开来源不明邮件的附件和链接 | 除非确认电子邮件来源可靠可信,否则不要打开邮件中的附件,特别是.js、.vbs、.exe、.scr、.bat、.lnk等扩展名的附件。不要点击来源不明邮件中的URL链接。 |
| 网络犯罪分子经常伪装成电商、银行、警察、法院或税务机构,或者网络社交媒体上的朋友和同事,因此遇到可疑邮件,可以先回复邮件确认。置之不理也是极好的。 | |
| 显示文件扩展名 | 在Windows文件夹中设置显示"文件扩展名",可以更轻易地发现潜在的恶意文件。网络犯罪分析经常使用多个扩展名将恶意文件伪装成视频、照片或文档(如:退税.doc.scr),或者伪造扩展名并设置成相应的文件图标。 |
| 如果发现有伪造扩展名的文件,或者未知应用程序,请立即断网,避免恶意软件传播到其他计算机上。 |
如何处置勒索软件?
如果不幸被勒索,请按照如下建议处理。
-
不要急于为勒索软件支付赎金。支付赎金相当于鼓励网络犯罪,并且并不能保证能够恢复被加密的文件。
-
严格来说,加密型勒索软件不可破解。因勒索软件本身设计的问题,或者黑客组织公布了解密密钥(如Shade),存在一定的解密可能性。
-
如果被加密的数据相当重要或者极其敏感,且该勒索软件尚无解密方案,也请在确认网络犯罪分子确实可以解密后,再决定是否支付赎金。
表1-3 勒索软件处置建议
| 序号 | 处置动作 | 操作建议 |
|---|---|---|
| 1 | 隔离被勒索的设备 | |
| 1-1 | 拔掉网线或者修改网络连接设置,从网络中隔离所有被勒索的设备,防止勒索软件进一步传播,控制影响范围。同时排查受影响的主机数量,记录问题现象。 | |
| 1-2 | 关闭其他未感染主机的高危端口。在局域网内其它未感染设备上,关闭常见的高危端口(包括135、139、445、3389等),或设置可访问此端口的用户/计算机。 同时,在防火墙和交换机等网络设备上,配置安全策略(参考如何在防火墙上阻断高危端口)和流策略(参考如何在交换机上阻断高危端口),阻断常见高危端口的通信。 注意: 封堵相关端口可能对正常业务造成影响,需要确认是否有相关业务承载在相关端口,避免正常业务受影响。 | |
| 2 | 清除勒索软件 | |
| 2-1 | 尝试使用杀毒软件扫描和清除勒索软件。请重启操作系统,进入安全模式,安装/杀毒软件并全盘扫描。 勒索软件搜索文件并加密需要一定的时间,及早清理勒索软件可以降低其危害程度,也能避免它重复锁定系统或加密文件。 | |
| 3 | 解密 | |
| 3-1 | 保护现场。不要直接重新安装操作系统。如果被加密锁定数据比较重要,建议做好被加密文件的备份和环境的保护,防止因为环境破坏造成无法解密等。 | |
| 3-2 | 访问"No More Ransom"网站,使用解码刑警(Crypto Sheriff)确定勒索软件的类型,并检查是否有可用的解密方案,有机会破解并恢复文件。 说明: 2016 年,欧洲刑警组织、荷兰国家警察署、Intel Security和卡巴斯基共同启动了"拒绝勒索软件计划"(No More Ransom),旨在对抗日益泛滥的勒索软件。这个计划得到了欧洲司法合作组织(Eurojust)和欧盟委员会(European Commission)的支持,多个组织和安全企业加入该计划。推荐访问该网站,寻求解密方案。 | |
| 4 | 调查取证 | |
| 4-1 | 求助专业技术人员进行取证操作,以便分析勒索软件的攻击路径,对攻击路径进行溯源。 在操作系统的事件查看器中,查看安全日志,重点关注登录失败事件。在网络设备中查看安全日志、会话日志,重点关注暴力破解、SMB等重大漏洞攻击事件。 | |
| 4-2 | 确定中毒原因,彻底修复系统中存在的安全问题,避免再次沦陷。 | |
| 5 | 重装系统 | |
| 5-1 | 最后的最后,如果勒索软件无法移除、被加密数据不可恢复,请备份被加密数据(或许未来有恢复的可能),然后格式化硬盘驱动器,擦除所有数据(包括受感染的数据),重新安装操作系统和应用程序。 | |
| 5-2 | 按照表1-2加固操作系统。 |