什么是勒索病毒?如何防范此类病毒?

阿斌 9月前  网络安全   491

上周参加了一个网络与数据安全的培训,上课的老师有讲到勒索病毒并且做了现场演示,感觉危害很严重,全盘感染,所有数据被加密无法打开。因为时间紧,课上来不及具体了解这个病毒,私下想再学习下。

3 个回答
  • 木马猎人 9月前
    2
    勒索病毒,是伴随数字货币兴起的病毒木马,其传播方式包括钓鱼邮件、程序木马、网页挂马、远程登录入侵、供应链和移动介质传播等。勒索病毒一旦入侵计算机,会自动运行,删除勒索软件样本,以躲避查杀和分析,并利用本地互联网访问权限连接到黑客的服务器,上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。在桌面等明显位置生成勒索提示文件,用户缴纳赎金后,才能将文件解密。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
    2 回复引用 引用
  • 小何同志 9月前
    3

    勒索病毒定义

    勒索病毒,是指以加密数据、锁定设备、损坏文件为主要攻击方式,使计算机无法正常使用或者数据无法正常访问,并以此向受害者勒索钱财的一些恶意软件。勒索形式包括文件加密、加密局域网共享设备、加密磁盘、内网渗透、上传隐私信息、禁用防护功能、关闭进程/服务、清除日志、删除备份数据、窃取数据等。入侵途径包括弱口令攻击、横向渗透、钓鱼邮件、网站挂马、漏洞利用、僵尸网络、远程入侵、供应链攻击和移动介质等。

    防范措施建议

    在防范勒索病毒的时候,可采取下列措施预防服务器/主机感染勒索病毒。

    (1)严格管控服务器端口,关闭与业务无关的对外服务端口。

    (2)开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。

    (3)服务器/主机设置复杂口令,杜绝弱口令,安装正版杀毒软件并及时更新病毒库,定期全盘杀毒。

    (4)服务器开启关键日志收集功能,为安全事件的追踪溯源提供支撑。

    (5)及时升级操作系统和应用软件,修复系统、中间件等存在的高危漏洞。

    (6)禁止安装盗版软件、非法破解软件以及激活工具。

    (7)定期备份重要数据、文件,并采取隔离措施。严格限制备份设备和备份数据的访问权限,防止勒索软件加密备份数据。

    (8)对网内的安全域进行合理划分,各个安全域之间严格限制访问控制列表,限制横向移动的范围。

    1 回复引用 引用
  • 野溜小子 9月前
    4

    最近正好写了篇文章,叫“勒索病毒背景下高校校园网安全策略研究”,在此分享一下:

      在网络技术和信息技术飞速发展的同时,出现了许多危害网络安全的病毒,勒索病毒即为其中之一。该病毒在传播时基本依托于计算机中的445端口,由于我国一些高校还未具备严格且完善的校园网络配置策略,其内部还存在着许多的445端口,因此受到该病毒的危害较为严重,一些重要资料和文件被加密,影响了高校工作的顺利开展。为了维护我国高校校园网安全,需要探寻更加可行的防范策略,应用更高水平的网络安全技术。

    一、勒索病毒概述

    (1)含义

      2017年5月12日,一种特殊形式的计算机病毒在全球范围内爆发,这种病毒即为勒索病毒,这种病毒亦可被称作WannaCry病毒。该病毒是不法分子凭借美国国家安全局(NSA)的网络武器库中的Eternal Blue(永恒之蓝)漏洞而诞生的,从本质上来看,勒索病毒是一种借助Windows系统漏洞实现传播的蠕虫病毒,因此,又被叫作NSA蠕虫病毒。勒索病毒的代码长度一般是3.3M字节,如果电脑中存在着勒索病毒,其中存储的诸多类型的文件都会进入加密状态,包含图像文件、视频文件、声音文件以及文本或其他形式的文件等,被加密之后的文件将会显示相同的文件后缀——.onion,在此之后,计算机屏幕上就会显示勒索页面,需要计算机用户缴纳相应的文件赎金,在缴纳赎金之时所用的币种必须是虚拟货币比特币。在勒索病毒进入电脑以后,可以对档案进行多重加密,这也意味着进行了大量数据的捆绑,一旦计算机用户选择将该病毒删除,那么计算机中的文件也会同时消失。

    (2)攻击过程

      勒索病毒的代码组成共涉及两个环节,分别是传播环节和破坏环节。首先,传播环节。勒索病毒借助蠕虫病毒的特性,对计算机进行感染,同时不断拓宽其传播范围;其次,破坏环节。采用对计算机中存储文件加密的手段,导致计算机用户不能对文件进行正常的读取和使用,以此实现勒索赎金的目标。勒索病毒在传播的过程中一方面是借助一些伪装的邮件链接和文件下载链接,另一方面,这种病毒本身还具备着对局域网和公网的开放端口进行主动扫描的能力,依托于对网络中开放的端口服务进行扫描并获知的方式,能够对目标计算机进行入侵。

      勒索病毒对计算机电脑的攻击涉及三个流程:第一,寻找自身系统存在漏洞的计算机;第二,凭借计算机中的漏洞对计算机系统进行侵入,进而对计算机文件进行破坏;第三,计算机用户无法正常使用计算机文件。总体而言,勒索病毒在感染计算机时,主要涉及Eternal Blue漏洞、Windows系统漏洞以及局域网传播等网络自我复制技术,不仅如此,在对计算机操作系统的正常服务进行破坏时,还牵扯到加密技术的应用,最终致使勒索病毒的破坏程度更高、传播速度更快。

    二、勒索病毒背景下高校校园网安全策略

    2.1 应用多种网络安全技术加以防范

    (1)应用病毒防范技术

      在计算机运行的同时,计算机病毒能够随之开始运作,并对计算机系统的功能程序加以破坏,勒索病毒同样如此,如果在高校校园网使用期间遭受勒索病毒的危害,其中的数据和信息安全将会受到较大程度的危害。基于此,在维护高校校园网安全的过程中,须得进行性病毒防范技术的应用,同时在校园网络中植入防病毒程序。值得注意的是,所使用的防病毒程序必须要与高校的实际情况相适应,并做到与多种网络和邮件系统的相契合,具备实时更新病毒库的能力,以此实现对病毒的有效防范。就现阶段的情况来看,我国所使用的杀毒软件还未具备全方位保护内容的能力,基于此,除了使用杀毒软件对高校校园网的网络安全进行保障之外,还应当致力于病毒入口的充分切断,由此实现病毒攻击的防范,降低勒索病毒带来的损失。

    (2)应用防火墙技术

      通常来说,我国高校校园网中所使用的防火墙系统通常包含多个组成部分,例如外部路由器、DMZ周边网以及内部路由器。由于防火墙系统一般是借助屏蔽子网结构,因此具备着较高的安全性。外部的路由器可以对周围网络实施有效防护,当数据流进入了相应的网络站点中以后,便被传送到代理服务器当中,而根据已经进行编制的原则,代理服务器也能够对部分不安全、不正确的数据加以过滤。此外,在校园网络中的内部网通常会被划分成若干个等级不同的差异化子网,这些子网所使用的IP地址均为内部IP地址,以此实现保护内网的目的。

      为了有效防范勒索病毒,当前,我国各个高校需要在防火墙主机和服务器中进行记账软件、防范病毒软件和入侵测试程序的配置。第一,高校必须做好校园路由表的设置,对学校的每一个服务器中绑定的MAC地址和IP地址做好明细记载;第二,如果在校园网上出现了一些对内部信息比较敏感的子网,一定要使这些子网与内网之间保持隔绝关系,并且需要进行专业的二级防火墙或者三级防火墙的设置;第三,在学校网关系统上实现记账软件的操作,如此一来,当出现网络访问行为时,就可以实现详细记录;第四,为了能够对高校校园网上的活动进行有效的监督和把控,还需要将审计软件植入到网关服务器之中。

    (3)应用信息加密技术

      在防护高校校园网络中的一些关键数据和文件时,使用到的一种主要技术即为信息加密技术,高校校园网的网络管理员能够在加密系统的帮助下完成重要数据信息和文件的加密处理。在实际应用信息加密技术的过程中,能够达成两项基本目的:第一,为数据信息传输过程中自身的完整性提供保障;第二,对有价值的信息和数据进行充分保护。信息加密技术的应用能够在不凭借拓扑结构的情况下,为网络信息安全提供保障,同时还可以将传输数据信息期间使用的网络安全防护方式减少。

    (4)应用入侵检测技术

      在计算机系统中进行入侵检测技术的融入之后,当其他计算机系统向本计算机进行信息传输时,如果其中存在一些具备潜在威胁和进攻性的信息,将会实现有效识别。入侵检测技术可以采集并分析网络系统整体中存在的各项信息和数据,并在此基础上搜寻出相应的安全威胁因素,进而借助更具针对性的拦截方法和防护路径加以有效防范,最终实现降低计算机系统损失、充分维护网络安全的目标。

    (5)应用VLAN技术

      VLAN技术即虚拟局域网技术,从本质上来看,这个技术属于人为划分管理网络的技术手段,在实际使用时以计算机用户本身的网络管理要求为基准,把原来处在整体状态下的、较大的网络加以科学分割,使其形成了若干个功能不同的逻辑子网络,这些网络中的站点都无须在物理位置存在相应的关联,以达到将网络管理系统安全化的目的。当进行了VLAN分配以后,如果在网络中出现了需要转发的广播包,当它发出以后,只有与VLAN相同的网络才可以接收到,从而达成在小规模范围内传播广播包的目的,防止出现大范围传播广播包的现象。

    (6)应用ACL技术

      ACL技术全称为访问控制列表技术,能够对进出端口的数据包进行有效控制,在全部被路由协议中,这种技术均具备良好的适用性。该技术能够按照计算机用户的实际需要进行相应的访问规则的设置,如此一来,无论计算机借助网络作出何种操作,均会受到相应的控制。这种技术形式可以访问并控制网络应用程序的两个网络之间的设备,同时还能够开展更大范围的网络访问控制管理,以此达成保护网络安全有效运行的目的。总体而言,ACL技术是为计算机系统提供安全保障的一种关键技术,将该技术应用到高校校园网中,可以实现对勒索病毒的有效防范。

    2.2 提升硬件设备和软件系统维护水平

      为了可以实现充分防范勒索病毒,保障高校校园网安全运行的目的,还需要对高校中与计算机相关的硬件设备和软件系统进行维护。

      首先,维护硬件设备。高校工作人员应当确保常态化维护校园中计算机网络,每隔一段时间就开展一次维护工作。从上述内容中可知,在计算机运行的同时,计算机病毒能够随之开始运作,与此同时,在高校中往往设有供学生上课的计算机机房,其中存在着大量的计算机设备,一旦勒索病毒对其中的某一台计算机造成了感染,很有可能会在短时间内导致大量计算机被感染。所以,工作人员应当每隔一段时间就对网卡驱动、网络交换机以及光电交换机等硬件设施进行检修,同时,还要对计算机硬盘做到定期维护。当学生或教师使用U盘的过程中,需要确保使用和操作的规范化与安全化,切忌引入其他病毒。当前,大部分光电交换机均需要运行自身的ram,所以还需要优化维护硬件设备的水平。一旦高校校园网被勒索病毒所感染,还需要在短时间内运用更具针对性、切实可行的应急策略,并对高校中被勒索病毒侵入的计算机数量进行统计,倘若高校中存在的诸如服务器、公共计算机和显示器一类的公共仪器设备遭到了勒索病毒的入侵,应当尽可能地降低造成的损害程度。

      其次,备份软件数据,检测并防治勒索病毒。从勒索病毒的攻击方式来看,其在锁定计算机中的重要文件时,主要是借助加密后缀的形式,使得文件无法正常使用。所以,为了可以实现被病毒入侵之后损失降低的目标,计算机用户应当做好相应的备份工作,对数据、系统软件和关键文件进行备份,对于一些关键系统,还应当进行云备份和磁盘备份。在做好备份之后,倘若计算机系统被勒索病毒入侵,也能够借助同传备份数据和软件系统的形式,将原有的系统进行恢复。除此之外,还需要在日常使用计算机的过程中注重排查和检测病毒的工作,及时发现系统中存在的漏洞。

    2.3 定期更新操作系统补丁与应用升级

      勒索病毒在实际入侵计算机的过程中,往往需要借助操作系统中存在的漏洞,由此可以认为,操作系统在此期间扮演着攻击者的角色,成为病毒感染主机的“帮凶”。基于这种情况,对计算机操作系统进行及时更新能够在一定程度上消除系统漏洞,实现保护校园网安全性的目的。高校校园网往往涉及许多计算机设备,并且这些计算机设备的种类还存在着一定的差异,开展维护管理工作的工作量较大,尽管如此,相关主体依旧不能忽略这项工作的落实。无论是软件和系统的自动更新或者是定期自动更新,均需要将其打开,将相应的厂商的漏洞补丁进行下载,并安装到相应的计算机设备中,实现对系统隐患和漏洞的有效修复。高校校园网同样需要做好操作系统补丁更新的工作,其中的系统补丁应当以系统厂家所发布的系统补丁作为基础,在合适的时间内完成系统补丁的安装,进行系统更新。与此同时,还需要将校园网计算机设备中的应用软件进行及时升级与更新,校园网中的管理者应当借助权威渠道及时了解并掌握网络安全风险提示信息,对校园网中的各项设施加以合理维护,以免勒索病毒凭借操作系统漏洞或计算机应用软件漏洞入侵计算机。高校校园网的管理者应当对网络硬件和服务器的安全日志进行定期检查,在安全日志的帮助下完成维护系统的工作。

    2.4 依托大数据建立智能处理方案库

      高校若想实现勒索病毒危害程度的降低,还可以在其内部进行智能处理方案库的建立,该方案库是以大数据技术作为基础,依托于大数据技术的分析和搜集功能,来感知、分析并判断校园网中的数据信息,进而生成更具针对性的解决方法,同时通过多种算法的使用,最终确定问题的处理措施。如果在校园网运行的过程中出现一些异常变化情况,还可以将这些情况与方案库进行比对,倘若存在既定的解决方案,就可以使用该方案进行解决。倘若方案库中并不存在相应的解决方案,就需要将学习过程启动,在处理问题的过程中实现方案库的实时更新。

    三、总结

      综上所述,尽管当前互联网技术已经发展到了较高的高度,但是由于网络环境呈现出错综复杂的态势,因此,保障网络信息安全这份工作依旧面临着诸多挑战。应当认清的是,校园网安全实际上是一种相对状态,不过,采取主动的网络安全防护措施、提升相关主体的网络防范意识能够在很大程度上实现网络安全隐患、风险和损失的降低。在未来的发展中,有关领域应当持续加大开发新型网络安全技术的力度,不断改善高校校园网安全,助力高校发展。

    1 回复引用 引用
    • 探知网
      5
        立即登录 立即注册
返回
发新帖