蓝盟-系统集成-蓝盟官网

如何预防勒索病毒

发布者：上海IT外包来源：www.linemore.com

勒索软件由于没有典型的病毒特征和较长的潜伏期，却拥有对企业数据毁灭性的破坏力。而且有着成本低，收益高的特点，因此勒索软件的种类和扩散逐年递增，防御勒索软件工作成为了企业数据安全防护工作中的众矢之的。
针对服务器的勒索软件两大家族：Crysis，Globelmposter。感染勒索企业和文件数量逐年递增。
要预防勒索软件就先要知道和了解它的传播途径和工作原理。下面以Globelmposter为例：
一、外部入侵
通过分析多起针对Windows服务器的勒索病毒攻击，发现此类攻击大多利用弱口令漏洞、系统漏洞等方式获得远程登录用户名和密码，之后通过RDP（远程桌面协议）远程登录目标服务器运行勒索病毒。黑客一旦能够成功登录服务器，则可以在服务器上为所欲为。这也意味着，即使服务器上安装了安全软件也有可能会被黑客手动退出。
以某公司的服务器为例，通过系统安全日志可以看到，该服务器平均每隔几秒就会被尝试通过RDP协议爆破一次。黑客一旦能够成功登录服务器，则可以在服务器上为所欲为。这也意味着，即使服务器上安装了安全软件也有可能会被黑客手动退出。

通过系统安全日志可以看到，该服务器平均每隔几秒就会被尝试通过RDP协议爆破一次。
即使公司有较好的安全意识，没有将服务器直接暴露在公网下，黑客虽然无法直接RDP爆破登陆服务器，但依然有办法成功入侵。比如，被勒索病毒攻击的几台服务器并没有直连外网。黑客是先入侵了该公司官网的Web服务器，而该公司的Web服务器与公司内网相通，进而使得黑客可以通过Web服务器进行内网渗透，攻击内网各个服务器。

二、感染加密
GlobeImposter加密过程
该勒索软件使用了RSA+AES加密方式，加密过程中涉及两对RSA密钥(分别为黑客公私钥和用户公私钥，分别用hacker_rsa_xxx和user_rsa_xxx表示这两对密钥)和一对AES密钥。黑客RSA密钥用于加密用户RSA密钥，用户RSA密钥用于加密AES密钥，AES密钥用于加密文件内容。
具体的加密过程为：勒索软件首先解码出一个内置的RSA公钥(hacker_rsa_pub)，同时对每个受害用户，使用RSA生成公私钥（user_rsa_pub和user_rsa_pri），其中生成的密钥信息使用内置的RSA公钥(hacker_rsa_Public)进行加密后，做为用户ID。在遍历系统文件，对符合加密要求的文件进行加密。对每个文件，通过CoCreateGuid生成一个唯一标识符，并由该唯一标识符最终生成AES密钥(记为file_aes_key)，对文件进行加密。在加密文件的过程中，该唯一标识符会通过RSA公钥 (user_rsa_pub) 加密后保存到文件中。
黑客在收到赎金、用户ID和文件后，通过自己的私钥(hacker_rsa_pri)解密用户ID,可以得到user_rsa_pri，使用user_rsa_pri解密文件，就可以得到文件的file_aes_key，进而可以通过AES算法解密出原始文件。
通常情况下赎金为比特币等匿名数字货币，即使支付赎金也无法确保黑客会提供秘钥解密文件！！
蓝盟于2002年在上海成立，致力于为企业客户提供IT外包、IT软硬件采购、弱电工程（网络布线、机房建设、门禁考勤、视频监控、电话交换机、多媒体会议室）、系统集成（网络组建、网络改造、WIFI覆盖、数据备份、病毒防护、文件权限、虚拟化等）、云服务（微软云、阿里云、企业邮箱、Office365等）“一站式”IT外包解决方案。 www.lanmon.net，www.lanmon.com 咨询热线：021-80158199

微软云

IT采购

弱电工程

系统集成

客户故事

如何预防勒索病毒

400-635-8089