关于勒索病毒,你需要知道的几个问题!

释放双眼,带上耳机,听听看~!

2016年中国灾备技术和行业白皮书

版权声明:该白皮书不是我的原创,版权不归我所有,我只是搬运工,去除了里面的涉及广告的部分内容。 欢迎关注大兵说安全。 点击下面的“阅读原文”下载完整版。

 

 


注:不好意思,重新发布,增加了一个问题,修订了原来文章中的一点小错误。


这几天,朋友圈被”永恒之蓝”刷屏了。从央视到省台到市台,无不在关注这个勒索病毒,关于这个病毒的原理和预防方法已经有好多文章在写了,我这里就不做重复的工作了。这里将大家问我最多的几个问题整理如下:

1、问:勒索病毒是一个新病毒吗?

      答:勒索病毒很早就有了,不过从2016年开始大规模的爆发,并且有大量的变种出现。2016年可以说是勒索病毒年,去年一年,我就经手处理了上百起勒索病毒的案例,也有一部分成功进行了解密,但大部分无法解开。同时我也写了几十篇微信提到勒索病毒问题,希望得到大家的重视。

2、勒索病毒既然是老病毒了,为什么这次会突然大规模爆发?

     答:以前的病毒是通过钓鱼邮件、发送链接、网页等方式诱导用户点击执行,基本都是通过骗的方式。现在很多人安全意识提高了,这种方式成功率就降低了。而这次是病毒作者通过一个来自美国安全局的网络攻击武器——永恒之蓝,利用了微软的漏洞,不需要用户点击就可以自动执行,因此感染范围就会大大增加。

3、是不是按照网上说的打了补丁,关闭系统端口就可以防范勒索病毒?

     答:这种想法是不对的,也是很危险的。打补丁、关端口,仅仅是堵住了病毒感染的一个途径而已。绝对不可以掉以轻心,病毒传播的途径有很多种,邮件、网页、下载、U盘等等,仅靠自己的小心是应付不了的。而且新的变种又出来了,下一个变种利用哪个漏洞?走哪个端口,还不知道,这种被动的防守或许只对这个变种有用,但对新的可能就是没有用的。因此,还是我一直强调的,安装专业的杀毒软件和进行数据备份还是很重要的。

4、据说WIN10免疫,不会感染勒索病毒是吗?

      答:这种说法是不正确的。只是说微软发布的这个补丁是针对其他版本的,WIN10系统自动更新中已经包含了这个补丁,不需要单独再打这个补丁了(如果你没有关闭自动更新功能的话),但这不意味着WIN10不会感染这个病毒。就象第3个问题所说,打补丁只是封堵了本次病毒传播所利用的一个漏洞而已,并不影响病毒通过其他渠道感染,也不能避免下次新的变种通过其他的漏洞进来。。

5、网上有很多号称解密工具,可以用吗?

     答:我觉得一些安全厂商以此为头是很不合适的,会让很多用户以为这个病毒没有什么严重的,被 加密了也可以解密。事实上被这次的勒索病毒加密的文件目前是无解的。勒索病毒的变种有很多,去年有一些变种目前是可以解的,我们也解开过不少,但这个需要时间去破解密钥,在没有破解之前都无解。而目前很多安全厂商推出的所谓工具都是一种数据恢复工具,而不是解密工具,类似于easyrecovery之类的,从删除的文件中找回数据。当然,这种方式在一定程度上也有可能会找到一些,但机率很小,大家还是不要对此抱有太大希望,更不能以此认为文件是可以解密的。

5、我们单位是内网,不连互联网,是不是不会感染病毒?

      答:从实际情况来看,内网的病毒一点不少于外网,我们去很多单位的内网帮他们查过病毒,发现内网有时候比外网更危险。为什么会这样呢?有一个很重要的原因就是很多人的意识中认为内网更安全,所以就忽略的对安全的重视,对于连接互联网的电脑,大家心中都有一根弦,告诉自己要小心病毒,不能感染,相反中病毒的机会反而少了,而对于内网,往往会放松警惕。反而会导致病毒泛滥。虽然没有连互联网,但还有U盘,还有共享文件 ,可以说,只要你的电脑存在数据交换的行为一,就有感染病毒的可能。

6、局域网用户如何防范勒索病毒?

CDP 之我见!

针对 CDP 技术的兴起,RPO=0.RTO=0 的宣传资料满天飞,几乎所有的 用户都会欣然接受,这让我想到了一个故事,鲁迅写的血馒头,说人血馒头可 以治疗肺痨,竟然还真有人信?其实这不能怪他,因为他确实真的很需要,在 没有选择的情况下,死马当活吗医还是有一定

    答:企业用户不同于个人用户,重在管理。建议从几个层次做好安全防范工作:

   1)网络层安全:在网络出口处要有防火墙和IPS,对于这种攻击可以从网关处进行拦截。

   2)端点层安全:企业用户就要安装企业版的端点安全管理软件和专业级的企业版杀毒软件,能够对全网内所有的计算机进行集中管理,比如对补丁的集中分发、对计算机端口的统一设置,对杀毒软件的同步更新和策略的统一设置,对移动介质(如U盘和移动硬盘)的安全管理等等。。这些功能 是个人版产品所不具备的功能。

   3)数据层安全:对数据进行备份,这里所说的数据, 不仅仅是指数据和文档,还包括操作系统、应用软件以及运行环境等。这样当中毒后可以快速的对整体运行环境进行恢复。而不是需要手工配置运行环境再导入数据,不仅耗时耗力,而且极容易出现问题。

7、如果我的电脑已经感染勒索病毒了,如何处理?我需要向勒索者支付赎金吗?

      答:如果没有特别重要的文件,建议直接格式化并重装系统,重装后记得把补丁打上。如果上面有你认为特别重要的文件,可以暂时封存硬盘,等等看能否找到解密办法。

 我们不建议你向勒索者支付赎金,一则这样等于是鼓励和纵容犯罪,二则我们也遇到一些客户支付赎金后拿不到密钥,人财两空。也有的在发过来的解密工具中包含新的病毒文件。

8、你们解密文件是如何收费的?

      答:我们的解密是不收费的,我们去年成功解开过几十例的勒索文件,但并不是所有的都能解,比如当前的这种勒索病毒,暂时就不能解开。

我们不是勒索者,如果这个时候再向用户索要解密费用,那和勒索者又有什么区别。

9、你一再强调要备份,可是我备份的文件被不会被病毒感染?

      答:这种情况也是有可能的。如果备份文件放在本机,也同样会被病毒感染。所以,我建议采用3-2-1原则来进行文件的备份,所谓3-2-1是指,数据要有三份备份,存储在两种不同的介质上,其中有一份在异地。对于个人用户通常的做法是:数据备份在本地硬盘上一份,移动硬盘上一份,云端一份。备份在本地硬盘上的,建议创建安全区将备份文件备份在安全区内,安全区是一个有特殊权限的分区,这个分区内文件是病毒无法感染的。有些备份软件会带有创建安全区的功能。备份不是简单的文件拷贝,如果简单的将数据拷贝出去或者云端,还要考虑数据泄露的风险,我建议采用专业的备份软件而不是手工拷贝,一是自动化,不用每都人工完成;二是专业备份软件都会备份成特有的格式,具有加密功能,可以确保数据的安全性,避免数据泄露。

10、你说要安装专业的杀毒软件,那么什么是专业的杀毒软件,我目前装的是国产的XXX或者XX,是否可以?

      答:这个问题我不好回答,如果说他们不行,会有抹黑他们的嫌疑,如果说可以,我又不能害你。从去年我接触的上百例的勒索病毒情况以及这几天接触到的中毒情况,很多上面安装的有杀毒软件,大多数就是国产的XXX或者XX,所以我给你的建议还是要安装专业的杀毒软件。如何判断是否专业的杀毒软件,更重要的是要看他对于对未知病毒的防范能力。病毒出来之后加入病毒库当然就可以查杀,这个说明不了什么,只要有样本都可以杀,但对于新出的病毒或者没有还加入病毒库的病毒能否利用自身的技术进行拦截,就是体现各杀毒软件是否专业的分水岭。当然对于这个问题,普通用户是没有能力去做具体的测试的,可以看一网上的各种测评和报告。但也要小心,现在一些公司很会利用互联网思维去做一些头和热点营销,要学会认真思考和辨别,不是还有一种工具叫度娘吗?不要只看自己的宣传,要了解中过毒的电脑 大部分装的什么杀软。自己都可以去查。做到去伪存真。不能简单的凭谁吆喝的热闹就是谁的水平高,真正的专业软件在这个时候反而发声很少,因为他们本身就已经防住了。慢慢的你就会明白,免费的往往是最贵的。

最后,讲一个众所周知的故事:甲乙两县县长同时上任,甲县长抓紧带领全县修缮水利工程,数月,高品质竣工,乙县则无动静。炎夏,洪水至,甲县固若金汤。乙县则四处汪洋,抗洪抢险,记者云集乙县滚动发播领导指示,县长频频在救灾一线出境,名声大噪,数月后获提升。


对于我们最为重要的数据的安全性而言,你希望遇到的是甲县长还是乙县长呢?

欢迎关注:大兵说安全。如果你觉得本文对你有帮助,记得打赏哦。

点击原文查看上一篇:永恒之蓝勒索病毒完整解决方案

本文源自微信公众号:大兵说安全

勒索程序演化与发展趋势(14~16年)

目录 Ⅰ报告摘要及主要结论 Ⅱ介绍:勒索程序发展简史 ①Blocker的流行 ②加密的勒索程序回归 Ⅲ从Blocker到加密勒索程序 ①加密勒索程序的主要成员 ②受到勒索程序攻击用户的类型 ③地理位置 Ⅳ结论和预测 Ⅰ报告摘要及主要结论        勒索程序是一种恶意程

人已赞赏
安全工具

惊爆:更智能的勒索病毒来了!

2019-10-14 17:34:03

安全工具

2016年中国灾备技术和行业白皮书

2019-10-14 17:34:09

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索