安全動態(tài)

2019 勒索病毒專題報告

來源:聚銘網(wǎng)絡    發(fā)布時間:2020-02-12    瀏覽次數(shù):
 

信息來源:hackernews


一、概述

勒索病毒作為全球最嚴峻的網(wǎng)絡安全威脅之一,2019年持續(xù)對全球范圍內的醫(yī)療、教育、能源、交通等社會基礎服務設施,社會支柱產(chǎn)業(yè)造成重創(chuàng)。圍繞目標優(yōu)質化、攻擊精準化、贖金定制化的勒索策略,以數(shù)據(jù)加密為核心,同時展開數(shù)據(jù)竊取、詐騙恐嚇的勒索戰(zhàn)術穩(wěn)定成型,促使勒索病毒在2019年索取贖金的額度有明顯增長。老的勒索家族持續(xù)活躍,新的勒索病毒層出不窮,犯罪行為愈演愈烈,安全形勢不容樂觀。

勒索病毒攻擊2019典型事件

2019年3月初,國內發(fā)現(xiàn)大量境外黑客組織借助惡意郵件傳播的GandCrab勒索病毒,黑客通過假冒司法機構發(fā)件人,成功攻擊感染了我國多個政企機構內網(wǎng),隨后我國多地區(qū)機構發(fā)起安全預警。

2019年3月下旬,世界最大的鋁產(chǎn)品生產(chǎn)商之一挪威海德魯公司(Norsk Hydro)遭遇勒索軟件公司,隨后該公司被迫關閉了幾條自動化生產(chǎn)線,損失不可估量。

2019年5月26日,易到用車發(fā)布公告稱其服務器遭受到連續(xù)攻擊,服務器內核心數(shù)據(jù)被加密,攻擊者索要巨額的比特幣。易到表示嚴厲譴責該不法行為,并已報警。

2019年5月29日,美國佛羅里達州里維埃拉海灘警察局因員工運行了惡意的電子郵件,從而導致該城市基礎服務設施遭受勒索軟件加密。市政官員于隨后召開會議,批準通過一筆大約60萬美元的資金用于支付勒索贖金。

2019年6月中旬,世界最大飛機零件供應商之一ASCO遭遇勒索病毒攻擊,由于被病毒攻擊導致的生產(chǎn)環(huán)境系統(tǒng)癱瘓,該公司將1400名工人中大約1000人送回家?guī)叫菁?,同時停止了四個國家的工廠生產(chǎn)。

2019年9月22日,國內某大型建筑設計有限公司遭到勒索病毒攻擊,被勒索的每臺電腦要給出1.5個比特幣才能解鎖,該公司的電腦全面崩潰,所有圖紙都無法外發(fā),該事件引發(fā)微博熱議。

2019年10月,全球最大的助聽器制造商之一Demant遭受勒索病毒入侵,該公司是目前聽力行業(yè)唯一產(chǎn)品線涵蓋助聽器、人工中耳、骨導助聽器、電子耳蝸及調頻語訓系統(tǒng)的全面聽力解決方案提供者,全球聽力檢測設備領域的領先者,攻擊導致的造成的損失高達9500W美元。

2019年12月,Maze(迷宮)勒索團伙向Southwire集團勒索600W美元,Southwire是北美領先的電線電纜制造商之一,勒索團伙聲稱:如果Southwire不交贖金,則會在網(wǎng)絡上公布該公司的泄漏的120G重要數(shù)據(jù)。

二、2019年勒索病毒特點總結

1.老牌勒索家族轉向精準化,高質量的狩獵行動

觀察過去一年騰訊安全威脅情報中心收到的勒索求助反饋,主流老牌勒索家族(如GlobeImposter,Crysis)實施的勒索攻擊中,企業(yè)用戶占據(jù)了其絕大部分。這意味著老牌勒索家族已經(jīng)從廣撒網(wǎng)無差別模式的攻擊,轉變?yōu)榫珳驶?、高質量的行動,該轉變使攻擊者每次攻擊行動后的收益轉化過程更有效。

企業(yè)服務器被攻陷則多為對外開放相關服務使用弱口令導致,當企業(yè)內一臺服務器被攻失陷,攻擊者則會將該機器作為跳板機,繼續(xù)嘗試攻擊其它局域網(wǎng)內的重要資產(chǎn),在部分勒索感染現(xiàn)場我們也看到攻擊者留下的大量相關對抗、掃描工具,個別失陷環(huán)境中攻擊者光是使用的密碼抓取工具就有數(shù)十款之多。

3

2.威脅公開機密數(shù)據(jù)成勒索攻擊新手段

勒索病毒發(fā)展歷程中,攻擊者勒索的加密幣種包括門羅幣、達世幣、比特幣、平臺代金券等。觀察2019年相關數(shù)據(jù)可知,基于匿名性,穩(wěn)定性,便捷性,相對保值性等特點,比特幣已基本成為勒索市場中唯一不二的硬通貨。

付款方式上,基本使用虛擬貨幣錢包轉賬。勒索交涉的溝通過程中,使用IM工具私信的方式在大型攻擊中已消失(少量惡搞、鎖機類低贖金還在使用),攻擊者多選擇以匿名、非匿名郵箱溝通交涉,或使用Tor登錄暗網(wǎng),瀏覽器直接訪問明網(wǎng)相應站點使用相應的贖金交涉服務。

2019年,勒索病毒團伙開始偏向于贖金定制化對不同目標要價各不相同,往往根據(jù)被加密數(shù)據(jù)的潛在價值定價(通常在5K-10w人民幣),勒索病毒運營者的這種手法大幅提高了單筆勒索收益。這也導致個別大型政企機構在遭受到針對性的加密攻擊后,被開出的勒索金額高達數(shù)百萬元。

當企業(yè)有完善的數(shù)據(jù)備份方案,拒絕繳納贖金時,勒索團伙則采取另一種手段:威脅泄露受害者的機密文件來勒索。下圖為Maze病毒團伙在數(shù)據(jù)加密勒索企業(yè)失敗后,公開放出了被攻擊企業(yè)2GB私密數(shù)據(jù)。

Sodinokibi勒索團伙也在黑客論壇發(fā)聲,稱如果被攻擊者拒絕拒絕繳納贖金,則會將其商業(yè)信息出售給其競爭對手。通過加密前先竊取企業(yè)重要數(shù)據(jù),當企業(yè)拒絕交付解密贖金情況時,再以公開機密數(shù)據(jù)為籌碼,對企業(yè)實施威脅勒索。數(shù)據(jù)泄露對大型企業(yè)而言,帶來的損失可能更加嚴重,不僅會造成嚴重的經(jīng)濟損失,還會使企業(yè)形象受損,造成嚴重的負面影響。

3.僵尸網(wǎng)絡與勒索病毒相互勾結

僵尸網(wǎng)絡是一種通過多重傳播手段,將大量主機感染bot程序,從而在控制者和感染僵尸網(wǎng)絡程序之間所形成的一對多控制的網(wǎng)絡,僵尸網(wǎng)絡擁有豐富的資源(肉雞),勒索病毒團伙與其合作可迅速提升其勒索規(guī)模,進而直接有效增加勒索收益。在2019年,國內借助僵尸網(wǎng)絡實施的勒索攻擊趨勢也進一步提升,我們觀察到主要有以下相互勾結。

A.Emotet僵尸網(wǎng)絡伙同Ryuk實施勒索

Ryuk勒索病毒家族起源于Hermes家族,最早的活躍跡象可追溯到2018年8月,國內自2019年7月開始有活動跡象,該團伙的特征之一為勒索贖金額度通常極高(超過百萬),觀察國內被勒索環(huán)境中可知,該染毒環(huán)境中同時會伴隨著Emotet病毒的檢出,而國外也有相關分析,指出該病毒常借助Trickbot,Emotet進行分發(fā)。

B.Phorpiex僵尸網(wǎng)絡伙同Nemty實施勒索

Nemty 病毒在國內早期主要依靠垃圾郵件傳播,在2019年中也依靠Phorpiex僵尸網(wǎng)絡大面積投遞,下圖中IP:185.176.27.132,騰訊安圖情報平臺中已標識為Phorpiex僵尸網(wǎng)絡資產(chǎn),其上投遞了Nemty 1.6版本的勒索變種,此次病毒間的勾結行為導致在2019年國慶期間Nemty勒索病毒一度高發(fā),國內多家企業(yè)受到Nemty勒索病毒影響。

C.Phorpiex僵尸網(wǎng)絡伙同GandCrab實施的勒索

GandCrab勒索病毒首次出現(xiàn)于2018年1月,也是2019上半年是最為活躍的病毒之一。該病毒在一年多的時間里經(jīng)歷了5個大版本的迭代,于2019年6月1日在社交媒體公開宣布已成功勒索20億美元將停止運營,GandCrab勒索病毒的整個歷程與使用Phorpiex僵尸網(wǎng)絡長期投遞有密不可分的關系。

D.Phorpiex僵尸網(wǎng)絡群發(fā)勒索恐嚇郵件

你可能收到過類似的郵件:“你已經(jīng)感染了我的私人木馬,我知道你的所有密碼和隱私信息(包括隱私視頻),唯一讓我停下來的方式就是三天內向我支付價值900美元的比特幣?!?

Phorpiex僵尸網(wǎng)絡利用網(wǎng)絡中的歷史泄漏郵箱信息,對千萬級別的郵箱發(fā)起了詐騙勒索,當命中收件人隱私信息后,利用收件人的恐慌心里,進而成功實施欺詐勒索。勒索過程中,受害者由于擔心自己隱私信息遭受進一步的泄漏,極容易陷入勒索者的圈套,從而受騙繳納贖金。

4.喪心病狂的反復加密,文件名加密

騰訊安全御見威脅情報中心在日常處理勒索病毒的現(xiàn)場發(fā)現(xiàn),有個別系統(tǒng)內同時被多個勒索病毒感染。后來的攻擊者在面對文件已被加密的失陷系統(tǒng),依然將已損壞數(shù)據(jù)再次加密。導致受害者需繳納兩次贖金,且由于解密測試過程無法單一驗證,即使繳納贖金,數(shù)據(jù)還原難度也有所提高。

同時還注意到部分勒索病毒并不滿足于加密文件,連同文件名也一同進行修改,從側面反映出勒索病毒運營者也存在競爭激烈,攻擊者對贖金的追求已喪心病狂。

5.中文定制化

中國作為擁有8億多網(wǎng)民的網(wǎng)絡應用大國,毫無疑問成為勒索病毒攻擊的重要目標,一部分勒索病毒運營者開始在勒索信、暗網(wǎng)服務頁面提供中文語言界面。

三、2019年勒索病毒攻擊數(shù)據(jù)盤點

2019年,勒索病毒攻擊以1月份攻擊次數(shù)最多,下半年整體攻擊次數(shù)較上半年有所下降。但根據(jù)騰訊安全威脅情報中心接收到的眾多反饋數(shù)據(jù),下半年企業(yè)遭受勒索病毒攻擊的反饋數(shù)不減反增,主要原因為部分老牌勒索家族對企業(yè)網(wǎng)絡的攻擊更加精準,致企業(yè)遭遇勒索病毒的損失更加嚴重。

從2019我們接受到的勒索反饋來看,通過加密用戶系統(tǒng)內的重要資料文檔,數(shù)據(jù),再勒索虛擬幣實施犯罪仍為當前勒索病毒攻擊的的主要形式。使用群發(fā)勒索恐嚇郵件,命中收件人隱私信息后,再利用收件人的恐慌心里,實施欺詐勒索的方式也較為流行。

加密數(shù)據(jù)勒索不成以泄漏數(shù)據(jù)再次脅迫企業(yè)的方式也成為了勒索團伙新的盈利模式(Maze和Sodinokibi已使用)。以鎖定系統(tǒng)的方式進行勒索多以易語言為代表編寫的游戲外掛、輔助工具中。同時也有極少數(shù)以勒索攻擊為表象,以消除入侵痕跡掩蓋真相為目的的攻擊事件,該類型的勒索病毒通常出現(xiàn)在部分定向竊密行動中。

觀察2019全年勒索病毒感染地域數(shù)據(jù)可知,國內遭受勒索病毒攻擊中,廣東,北京,江蘇,上海,河北,山東最為嚴重,其它省份也有遭受到不同程度攻擊。傳統(tǒng)企業(yè),教育,政府機構遭受攻擊最為嚴重,互聯(lián)網(wǎng),醫(yī)療,金融,能源緊隨其后。

2019全年勒索病毒攻擊方式依然以弱口令爆破為主,其次為通過海量的垃圾郵件傳播,勾結僵尸網(wǎng)絡發(fā)起的攻擊有上升趨勢。勒索病毒也通過高危漏洞,軟件供應鏈形等形式傳播。

 

四、2019年國內勒索病毒活躍TOP榜

觀察2019全年勒索病毒活躍度,GlobeImposter家族最為活躍,該病毒在國內傳播主要以其12生肖系列,12主神系列為主(加密擴展后綴中包含相關英文,例如:.Zeus865),各政企機構都是其重點攻擊目標。

其次為Crysis系列家族,該家族伙同其衍生Phobos系列一同持續(xù)活躍,緊隨GlobeImposter之后。

GandCrab家族雖然在2019年6月1日宣布停止運營,但在之后短時間內依然有部分余毒擴散,該病毒以出道16個月,非法獲利20億美元結束傳播,雖然其2019生命周期只有一半,但其瘋狂斂財程度堪稱年度之最。

緊隨其后的則是被稱為GandCrab接班人的Sodinokibi,該病毒在傳播手法,作案方式,病毒行為上于GandCrab有許多相似,為2019年勒索病毒中最具威脅的新型家族之一。

Stop家族則寄生于大量的破解軟件中,持續(xù)攻擊加密了國內大量技術人員的工程制圖,音頻,視頻制作材料。老牌勒索家族持續(xù)活躍,新的勒索病毒不斷涌現(xiàn)。越來越多的不法分子參與到這個黑產(chǎn)行業(yè)中來。

GlobeImposter

GlobeImposter出現(xiàn)于2017年中,加密文件完成后會留下名為HOW TO BACK YOUR FILES.(txt html exe)類型的勒索說明文件。該病毒加密擴展后綴繁多,其規(guī)模使用且感染泛濫的類型有12生肖4444,12生肖/主神666,12生肖/主神865,12生肖/主神865qq等系列,由于該病毒出現(xiàn)至今仍然無有效的解密工具,各政企機構需提高警惕。

Crysis

Crysis勒索病毒從2016年開始具有勒索活動 ,加密文件完成后通常會添加“ID+郵箱+指定后綴”格式的擴展后綴,例:“id-編號.[gracey1c6rwhite@aol.com].bip”,其家族衍生Phobos系列變種在今年2月開始也有所活躍。該病毒通常使用弱口令爆破的方式入侵企業(yè)服務器,安全意識薄弱的企業(yè)由于多臺機器使用同一弱密碼,面對該病毒極容易引起企業(yè)內服務器的大面積感染,進而造成業(yè)務系統(tǒng)癱瘓。

GandCrab

GandCrab勒索病毒首次出現(xiàn)于2018年1月,是國內首個使用達世幣(DASH)作為贖金的勒索病毒,也是2019上半年是最為活躍的病毒之一。該病毒在一年多的時間里經(jīng)歷了5個大版本的迭代,該病毒作者也一直和安全廠商、執(zhí)法部門斗智斗勇。該病毒在國內擅長使用弱口令爆破,掛馬,垃圾郵件等各種方式傳播。

2018年10月16日,一位敘利亞用戶在推特表示,GandCrab病毒加密了他的電腦文件,因無力支付勒索贖金,他再也無法看到因為戰(zhàn)爭喪生的小兒子的照片。隨后GandCrab放出了敘利亞地區(qū)的部分密鑰,并在之后的病毒版本中將敘利亞地區(qū)列入白名單不再感染,這也是國內有廠商將其命名為“俠盜勒索”的原因。

2019年6月1日,GandCrab運營團隊在某俄語論壇公開聲明“從出道到現(xiàn)在的16個月內共賺到20多億美金,平均每人每年入賬1.5億,并成功將這些錢洗白。同時宣布關閉勒索服務,停止運營團隊,后續(xù)也不會放出用于解密的密鑰,往后余生,要揮金如土,風流快活去”。

2019年6月17日,Bitdefender聯(lián)合羅馬尼亞與歐洲多地區(qū)警方一起通過線上線下聯(lián)合打擊的方式,實現(xiàn)了對GandCrab最新病毒版本v5.2的解密。該事件也標志著GandCrab勒索團伙故事的終結。

Sodinokibi

Sodinokibi勒索病毒首次出現(xiàn)于2019年4月底,由于之后GandCrab停止運營事件,該病毒緊跟其后將GandCrab勒索家族的多個傳播渠道納入自身手中。該病毒目前在國內主要通過web相關漏洞和海量的釣魚郵件傳播,也被國內廠商稱為GandCrab的“接班人”,從該病毒傳播感染勢頭來看,毫無疑問是勒索黑產(chǎn)中的一顆上升的新星。

Stop

Stop勒索病毒家族在國內主要通過破解軟件等工具捆綁進行傳播,加密時通常需要下載其它病毒輔助工作模塊。Stop勒索病毒使用勒索后綴變化極為頻繁,通常勒索980美元,并聲稱72小時內聯(lián)系病毒作者將獲得50%費用減免,同時,該病毒除加密文件外,還具備以下行為特點。

1.加密時,禁用任務管理器、禁用Windows Defender、關閉Windows Defender的實時監(jiān)控功能;
2.通過修改hosts文件阻止系統(tǒng)訪問全球范圍內大量安全廠商的網(wǎng)站;
3.因病毒執(zhí)行加密時,會造成系統(tǒng)明顯卡頓,為掩人耳目,病毒會彈出偽造的Windows 自動更新窗口;
4.釋放一個被人為修改后不顯示界面的TeamViewer模塊,用來實現(xiàn)對目標電腦的遠程控制;
5.下載AZORult竊密木馬,以竊取用戶瀏覽器、郵箱、多個聊天工具的用戶名密碼;

Paradise

Paradise勒索病毒最早出現(xiàn)于2018年7月,該病毒勒索彈窗樣式與Crysis極為相似,勒索病毒加密文件完成后將修改文件名為以下格式:[原文件名]_[隨機字符串]_{郵箱}.隨機后綴,并留下名為Instructions with your files.txt 或###_INFO_you_FILE_###.txt 的勒索說明文檔。

Maze

Maze(迷宮)勒索病毒也叫ChaCha勒索病毒,擅長使用Fallout EK漏洞利用工具通過網(wǎng)頁掛馬等方式傳播。被掛馬的網(wǎng)頁,多見于黃賭毒相關頁面,通常會逐步擴大到盜版軟件、游戲外掛(或破解)、盜版影視作品下載,以及某些軟件內嵌的廣告頁面,該病毒的特點之一是稱根據(jù)染毒機器的價值來確認勒索所需的具體金額,該勒索病毒同時也是將數(shù)據(jù)加密勒索轉向數(shù)據(jù)泄露的先行者。

Nemty

NEMTY勒索病毒出現(xiàn)于今年8月,該病毒早期版本加密文件完成后會添加NEMTY擴展后綴,也因此得名。NEMTY 變種病毒加密文件完成后會添加“._NEMTY_random_7個隨機字符”擴展名后綴,由于該病毒與Phorpiex僵尸網(wǎng)絡合作,在2019年國慶期間感染量有一次爆發(fā)增長,該病毒會避開感染俄羅斯、白俄羅斯、烏克蘭及多個中亞國家。

Medusalocker

Medusalocker該病毒出現(xiàn)于2019年10月,已知該病毒主要通過釣魚欺詐郵件及托口令爆破傳播。該病毒早期版本加密文件完成后添加擴展后綴.encrypted,最新傳播病毒版本加密文件后添加.ReadTheInstructions擴展后綴。攻擊者會向受害者勒索1BTC(比特幣),市值約6.5萬元。

Ryuk

Ryuk的特點之一是傾向于攻擊數(shù)據(jù)價值較高的政企機構,且贖金普遍極高(最近聯(lián)系作者要價11個比特幣,價值約75萬元RMB,在國外該病毒開出的贖金額度通常高達數(shù)百萬RMB),Ryuk勒索家族起源于Hermes家族,最早的活躍跡象可追溯到2018年8月,國內發(fā)現(xiàn)該病毒的投遞與Emotet僵尸網(wǎng)絡有著密不可分的關系。

五、勒索病毒接下來會怎樣

1、勒索病毒與安全軟件的對抗加劇

隨著安全軟件對勒索病毒的解決方案成熟完善,勒索病毒更加難以成功入侵用戶電腦,病毒傳播者會不斷升級對抗技術方案。

2、勒索病毒傳播場景多樣化

過去勒索病毒傳播主要以釣魚郵件為主,現(xiàn)在勒索病毒更多利用了高危漏洞、魚叉式攻擊,或水坑攻擊等方式傳播,乃至通過軟件供應鏈傳播,都大大提高了入侵成功率。

3、勒索病毒攻擊目標轉向企業(yè)用戶

個人電腦大多能夠使用安全軟件完成漏洞修補,在遭遇勒索病毒攻擊時,個人用戶往往會放棄數(shù)據(jù),恢復系統(tǒng)。而企業(yè)用戶在沒有及時備份的情況下,會傾向于支付贖金,挽回數(shù)據(jù)。因此,已發(fā)現(xiàn)越來越多攻擊目標是政府機關、企業(yè)、醫(yī)院、學校。

4、勒索病毒更新迭代加快

隨著安全廠商與警方的不斷努力,越來越多的勒索病毒將會被破解,被打擊,這也將加劇黑產(chǎn)從業(yè)者對病毒進行更新迭代。

5、勒索贖金定制化,贖金進一步提高

隨著用戶安全意識提高、安全軟件防御能力提升,勒索病毒入侵成本越來越高,攻擊者更偏向于向不同企業(yè)開出不同價格的勒索贖金,定制化的贖金方案能有效提升勒索成功率,直接提升勒索收益。如某公司被勒索病毒入侵后,竟被勒索9.5個比特幣,還有Ryuk團伙動輒開出上百萬的勒索贖金單,都代表勒索病毒贖金未來會有進一步的提高。

6、勒索病毒開發(fā)門檻降低

觀察近期勒索病毒開發(fā)語言類型可知,越來越多基于腳本語言開發(fā)出的勒索病毒開始涌現(xiàn),甚至開始出現(xiàn)使用中文編程“易語言”開發(fā)的勒索病毒。

例如使用Python系列的“Py-Locker”勒索病毒,易語言供應鏈傳播鬧的沸沸揚揚的“unname1989”勒索病毒,甚至利用bat腳本結合Winrar相關模塊直接對文件進行壓縮包密碼加密的“FakeGlobeimposter”病毒等,門檻低意味著將有更多的黑產(chǎn)人群進入勒索產(chǎn)業(yè)這個領域,也意味著該病毒將持續(xù)發(fā)展泛濫。

7、勒索病毒產(chǎn)業(yè)化加劇

隨著勒索病毒的不斷涌現(xiàn),騰訊安全御見威脅情報中心觀察到勒索代理同樣繁榮。當企業(yè)遭遇勒索病毒攻擊,關鍵業(yè)務數(shù)據(jù)被加密,而理論上根本無法解密時,勒索代理機構,承接了受害者和攻擊者之間談判交易恢復數(shù)據(jù)的業(yè)務。我們注意到勒索代理機構常年購買搜索關鍵字廣告承接生意。

8、勒索病毒多平臺擴散

目前受到的勒索病毒攻擊主要是windows系統(tǒng),但是管家也陸續(xù)發(fā)現(xiàn)了MacOS、Android等平臺的勒索病毒,隨著windows的防范措施完善和攻擊者永不滿足的貪欲,未來勒索病毒在其他平臺的影響力也會逐步增大。

9、勒索病毒黑產(chǎn)參與者持續(xù)上升,勒索病毒影響規(guī)模進一步擴大

GandCrab通過16個月賺夠20億美金高調“退休”的故事被廣為流傳,可以預見,此事件將引爆黑暗中更多人的貪欲,在未來相當長一段時間內,將會有越來越多的人投身勒索行業(yè),黑產(chǎn)從業(yè)者將持續(xù)上升。

隨著各類型病毒木馬盈利模式一致,各類型病毒均有可能隨時附加勒索屬性。蠕蟲,感染,僵尸網(wǎng)絡,挖礦木馬,在充分榨干感染目標剩余價值后,都極有可能下發(fā)勒索模塊進行最后一步敲詐,2019年老的勒索家族持續(xù)活躍,新的勒索病毒也層出不窮,可預測未來由勒索病毒導致的網(wǎng)絡攻擊將依然是企業(yè)安全面臨的重要問題之一。

六、勒索病毒防范措施

企業(yè)用戶可參考以下措施加強防御

A、定期進行安全培訓,日常安全管理可參考“三不三要”思路

1.不上鉤:標題吸引人的未知郵件不要點開
2.不打開:不隨便打開電子郵件附件
3.不點擊:不隨意點擊電子郵件中附帶網(wǎng)址
4.要備份:重要資料要備份
5.要確認:開啟電子郵件前確認發(fā)件人可信
6.要更新:系統(tǒng)補丁/安全軟件病毒庫保持實時更新

B、全網(wǎng)安裝專業(yè)的終端安全管理軟件,由管理員批量殺毒和安裝補丁,后續(xù)定期更新各類系統(tǒng)高危補丁。

C、部署流量監(jiān)控/阻斷類設備/軟件,便于事前發(fā)現(xiàn),事中阻斷和事后回溯。

D、建議由于其他原因不能及時安裝補丁的系統(tǒng),考慮在網(wǎng)絡邊界、路由器、防火墻上設置嚴格的訪問控制策略,以保證網(wǎng)絡的動態(tài)安全。

E、使用內網(wǎng)強制密碼安全策略來避免使用簡單密碼。

1.一些關鍵服務,應加強口令強度,同時需使用加密傳輸方式,對于一些可關閉的服務來說,建議關閉不要的服務端口以達到安全目的。不使用相同口令管理多臺關鍵服務器。

2.建議對數(shù)據(jù)庫賬戶密碼策略建議進行配置,對最大錯誤登錄次數(shù)、超過有效次數(shù)進行鎖定、密碼有效期、到期后的寬限時間、密碼重用等策略進行加固設置。

F、建議網(wǎng)絡管理員、系統(tǒng)管理員、安全管理員關注安全信息、安全動態(tài)及最新的嚴重漏洞,攻與防的循環(huán),伴隨每個主流操作系統(tǒng)、應用服務的生命周期。

G、建議對數(shù)據(jù)庫的管理訪問節(jié)點地址進行嚴格限制,只允許特定管理主機IP進行遠程登錄數(shù)據(jù)庫。

H、做好安全災備方案,可按數(shù)據(jù)備份三二一原則來指導實施

1.至少準備三份:重要數(shù)據(jù)備份兩份
2.兩種不同形式:將數(shù)據(jù)備份在兩種不同的存儲類型,如服務器/移動硬盤/云端/光盤等
3.一份異地備份:至少一份備份存儲在異地,當發(fā)生意外時保證有一份備份數(shù)據(jù)安全。

個人消費者可使用安全防護軟件

騰訊電腦管家可對各勒索病毒家族變種及時防御攔截,同時管家文檔守護者通過集成多個主流勒索家族的解密方案,通過完善的數(shù)據(jù)備份防護方案,在2019中為數(shù)千萬的管家用戶提供文檔保護恢復服務。通過自研解密方案成功為上千名不幸感染勒索病毒者提供了解密服務,幫助其成功恢復了被病毒加密的文件。

 
 

上一篇:工信部出臺推動云化部署等20條措施 助力中小企業(yè)復工復產(chǎn)

下一篇:需要關注數(shù)據(jù)安全的四個新挑戰(zhàn)