隨著勒索病毒的入侵手段開始多樣化,其攻擊范圍也逐漸擴大。為此,火絨安全綜合實際的用戶現場情況和相關安全防護知識,總結出一套關于勒索病毒的處置和預防指南,盡可能幫助大家降低風險和損失。
2022年2月,英偉達遭黑客勒索,涉及1T機密數據。
(資料圖片僅供參考)
2022年8月,法國巴黎一家醫院遭到勒索攻擊被迫暫停手術,轉移重癥患者
2022年9月,澳大利亞電信公司Optus遭勒索攻擊,致1120萬用戶的數據被盜。
近期勒索攻擊事件在全球各地頻發,一系列攻擊引發公司業務停滯、信息泄露等后果。根據“火絨威脅情報系統”統計,IT互聯網、醫療業、制造業等行業受攻擊情況最嚴重。
中毒處置指南
(1)保護現場
斷網,直接拔網線或網卡,筆記本類則關閉無線網絡;關閉其它IP訪問權限;關閉135,139,445,3389等端口;不要反復打開被感染終端上的文件;(2)查殺病毒
斷網情況下,使用火絨等具備本地引擎的安全軟件進行全盤掃描。
(3)評估影響
排查網絡內部其它終端、服務器是否受到影響,并及時做出影響評估。
(4)聯系安全廠商
在進行上述操作的同時,建議聯系專業的安全廠商尋求幫助,及時分析勒索病毒樣本以及入侵方式,確認是否可以解密,并獲取專業的后續安全建議和加固方案。
(5)備份還原
如果被加密的文件有備份資源,則可以在清除病毒或重裝系統,并進行全面的安全加固后,還原數據資料。
(6)解密工具
勒索病毒通常利用非對稱加密算法對文件進行加密,因此大多數無法解密。但也有極少數的勒索病毒被制作出解密工具。火絨目前已公布多個勒索病毒的解密工具,企業與個人用戶可根據自身中毒情況選擇使用。
(7)建立應急響應預案
在安全事件發生后,可根據安全廠商給出的分析和安全建議制定應急響應流程,以預防類似安全事件帶來的損失。
勒索預防指南
非工作時間通常是勒索攻擊入侵的高發時段,我們建議在節假日前做好以下準備措施:
對重要文件和數據進行離線備份或者異地備份;檢查服務器安全運行情況及漏洞修復情況(包括賬戶情況,windows日志,安全軟件日志);修復操作系統、軟件漏洞,安裝最新漏洞補丁;采用高強度的密碼,避免使用弱口令密碼和統一密碼,并定期更換密碼同時日常運維時注意以下方面:
核心數據資產的訪問控制需要重點加強,有條件的建議前置堡壘機等方式進行管控;各個分支加入專網,建議用防火墻等邊界控制設備進行隔離管控;關閉不必要的端口,如:135,139,445,3389等端口;關閉不必要的文件共享。若有需要,請設置強密碼訪問且禁用對共享的匿名訪問;對沒有互聯需求的服務器/工作站內部訪問設置相應控制;安裝專業的安全防護軟件,保持監控開啟,并經常更新病毒庫;火絨勒索病毒防護解決方案
“火絨終端安全管理系統V2.0”通過分析勒索病毒關鍵節點的各種攻擊方式,可為用戶提供有針對性的防護措施。
使用“火絨終端安全管理系統V2.0”加固防護建議
在中心管控內網的所有電腦,并在中心啟用“管理員密碼保護”、“終端卸載密碼保護”、“終端動態認證”;在重要服務器開啟“遠程登錄防護”,可根據需要設置“遠程登錄IP白名單”;開啟勒索誘捕功能,增強終端對勒索病毒的防護;在中心配置計劃任務或者定期分批對部署終端定期進行全盤查殺,并根據查殺反饋日志及時處理預警問題;定期檢查服務器安全運行情況(包括賬戶情況、Windows日志、安全軟件日志、火絨中心日志等),在發現異常后及時聯系火絨安全工作人員協助排查;對重要的服務器進行防護,以及對所有終端進行加固配置。
