色影音先锋日韩另类精品_?无码免费在线观看_国产一级在线高清_黄色永久网站_久久国产精品2020免费m3u8_大菠萝福建导航导入网站花季传媒4iOS_黄色毛片一级分享的内容是很丰富的_私人家庭影院5533_日韩午夜福利视频_国产资源高清无码在线

文章
  • 文章
搜索
首頁 >> 新聞動態(tài) >>行業(yè)動態(tài) >> 勒索病毒解決方案
详细内容

勒索病毒解決方案

时间:2022-06-08     【转载】

A:什么是勒索病毒?

B : 勒索病毒,是一種新型電腦病毒,主機(jī)感染勒索病毒文件后,會在主機(jī)上運(yùn)行勒索程序,遍歷本地所有磁盤指定類型文件進(jìn)行加密操作,加密后文件無法讀取。然后生成勒索通知,要求受害者在規(guī)定時間內(nèi)支付一定價值的虛擬幣才能恢復(fù)數(shù)據(jù),否則會被銷毀數(shù)據(jù)。從直觀現(xiàn)象而言,勒索病毒的現(xiàn)象主要包含以下兩種場景。

1、常規(guī)勒索病毒現(xiàn)象

   服務(wù)器文件被加密,例如加密成.java后綴或者其他奇怪的后綴名稱,在桌面提示需要支付比特幣贖金到某個賬戶,如果不支付將導(dǎo)致文件永遠(yuǎn)不可用,如下圖所示:


 2、變種勒索病毒現(xiàn)象

   內(nèi)網(wǎng)主機(jī)成片出現(xiàn)藍(lán)屏現(xiàn)象,藍(lán)屏的代碼提示srv.sys驅(qū)動出現(xiàn)問題,如下圖所示:

內(nèi)網(wǎng)大面積主機(jī)藍(lán)屏一般是變種類型的勒索病毒,具有很強(qiáng)的傳播性。

   詳情可參考如下鏈接:

http://sec.sangfor.com.cn/events/97.html


勒索病毒預(yù)防措施



1

檢測和分析

建議上一些流量采集分析系統(tǒng)針對內(nèi)網(wǎng)東西南北流量進(jìn)行分析檢測+終端檢測響應(yīng)系統(tǒng),及時發(fā)現(xiàn)內(nèi)網(wǎng)中存在的勒索病毒攻擊,迅速處理,針對的進(jìn)行查殺和終端隔離,避免爆發(fā)進(jìn)行數(shù)據(jù)加密和資源的破壞。


2

弱口令 

避免弱口令,避免多個系統(tǒng)使用同一個口令,針對系統(tǒng)的密碼在設(shè)定的時候滿足復(fù)雜性要求,定期修改密碼,不得有重復(fù)的。

3

應(yīng)用和服務(wù)的管控限制 

終端:關(guān)閉Windows共享服務(wù),遠(yuǎn)程桌面控制等不必要的服務(wù)。

網(wǎng)絡(luò):防火墻做好應(yīng)用控制,關(guān)閉互聯(lián)網(wǎng)訪問。


4

漏洞管理 

定期進(jìn)行漏掃,發(fā)現(xiàn)存在問題,及時打上補(bǔ)丁、修復(fù)漏洞,包含操作系統(tǒng)和應(yīng)用系統(tǒng)。



5

殺毒軟件

必須要有一款殺毒軟件進(jìn)行防護(hù),定期掃描殺毒,確認(rèn)是否存在異常風(fēng)險。



6

數(shù)據(jù)備份

對重要的數(shù)據(jù)文件定期進(jìn)行非本地備份,本地備份一旦出現(xiàn)問題全部數(shù)據(jù)不可用,推薦可以使用一些專業(yè)的備份系統(tǒng),比如CDP。


7

安全意識宣傳

不使用不明來歷的U盤、移動硬盤等存儲設(shè)備,這些很有可能會攜帶病毒體。

不要點(diǎn)擊來源不明的郵件以及附件,郵件也是傳播最頻繁的方式之一,重視可使用一些郵件網(wǎng)關(guān)進(jìn)行過濾。

不要接入公共網(wǎng)絡(luò)也不允許內(nèi)部網(wǎng)絡(luò)接入來歷不明外網(wǎng)PC,接入網(wǎng)絡(luò)就存在風(fēng)險,不明網(wǎng)絡(luò)和不明訪客PC的接入需要謹(jǐn)慎和管控。


變種勒索病毒解決方案


  在實(shí)際案例中有可能內(nèi)網(wǎng)還存在著其他中了勒索病毒的主機(jī)。特別是出現(xiàn)藍(lán)屏現(xiàn)象的內(nèi)網(wǎng),可能有些中了勒索病毒的主機(jī)還沒有被發(fā)現(xiàn),因?yàn)樗{(lán)屏一般意味著勒索病毒還沒有完全的漏洞利用成功,后面可能還會出現(xiàn)主機(jī)藍(lán)屏事件,會對業(yè)務(wù)系統(tǒng)造成極大的隱患。

  所以對于勒索病毒的防御不能只是出現(xiàn)一例解決一例,重裝系統(tǒng)完事,解決已知中勒索病毒的主機(jī)是第一步,要進(jìn)行持續(xù)的監(jiān)視和安全隔離。根據(jù)時間的場景,分為臨時和長期的解讀方案。


1臨時解決方案

    當(dāng)病毒爆發(fā),內(nèi)網(wǎng)主機(jī)大量出現(xiàn)藍(lán)屏現(xiàn)象,臨時的解決方案是在交換機(jī)上過濾所有接口的135,137,139,445訪問,禁止病毒在內(nèi)網(wǎng)通過上述端口進(jìn)行傳播。然后通過一些安全專殺工具進(jìn)行一臺臺主機(jī)病毒查殺”。這種方式簡單粗暴有效,但是對于部分內(nèi)網(wǎng)是需要進(jìn)行445端口訪問的就不可行了,接入在同一個非網(wǎng)管的二層交換機(jī)下面也不能實(shí)現(xiàn)隔離,也很難及時發(fā)現(xiàn)內(nèi)網(wǎng)勒索病毒爆發(fā)的情況。

    一般來說還是建議對出現(xiàn)問題的主機(jī)以及同一個域中的主機(jī)進(jìn)行全面的檢測,發(fā)現(xiàn)問題就進(jìn)行查殺。

2長效解決方案

   針對臨時解決方案的不足,長效的解決方案需要找到內(nèi)網(wǎng)所有的攻擊源,進(jìn)行病毒查殺,并進(jìn)行持續(xù)性的監(jiān)控。手動抓包分析的方式確定攻擊源會存在速度慢、誤報高的弊端,而且病毒發(fā)動攻擊或者對內(nèi)網(wǎng)的其他主機(jī)進(jìn)行暴力破解可能也存在潛伏期,不一定會在抓包解讀持續(xù)攻擊,可以借助一些專業(yè)的流量采集分析平臺來分析內(nèi)網(wǎng)所有的流量,部署方式如下:                                                                                      

每一個接入層放一臺流量采集器,利用交換機(jī)的流量鏡像到流量采集器,流量采集器把數(shù)據(jù)傳遞到流量采集分析平臺進(jìn)行分析,最后以直觀的訪問關(guān)系圖和報表呈現(xiàn)出整個網(wǎng)絡(luò)的安全態(tài)勢,特別是對于中了勒索病毒的主機(jī)對內(nèi)網(wǎng)其他主機(jī)爆破能夠及時發(fā)現(xiàn)告警,部署一段時間就會有安全可視化數(shù)據(jù)。流量采集分析平臺可以收集用戶與用戶之間的流量、內(nèi)網(wǎng)服務(wù)器之間的流量、外網(wǎng)服務(wù)器之間的流量,通過分析流量可以發(fā)現(xiàn)內(nèi)部潛伏的安全問題,如攻擊事件、業(yè)務(wù)受控等,并通過梳理內(nèi)部業(yè)務(wù)系統(tǒng)的訪問關(guān)系發(fā)現(xiàn)違規(guī)行為、異常行為。

3通過分析日志基本確認(rèn)攻擊源主機(jī)

   借助流量采集分析平臺分析識別用戶(PC端)是否已被控制,查看風(fēng)險IP自身行為,根據(jù)攻擊行為、C&C通信行為查看影響業(yè)務(wù),可以直接發(fā)現(xiàn)內(nèi)網(wǎng)橫向攻擊行為。如果該用戶通過C&C通信分析已被感染,則此IP就是跳板。 使用漏洞檢測工具進(jìn)行每臺檢測,發(fā)現(xiàn)問題就進(jìn)行查殺。

Wannacry變種勒索病毒(主機(jī)藍(lán)屏)處置方法

1

查看流量采集分析平臺,找到失陷主機(jī)。

2

使用NSA漏洞免疫工具關(guān)閉139,445等端口或者拔掉網(wǎng)線。

3

使用終端檢測響應(yīng)系統(tǒng)僵尸網(wǎng)絡(luò)查殺工具對失陷主機(jī)進(jìn)行檢查(殺毒時確保規(guī)則庫是最新的),并隔離病毒。

4

打上MS17-010漏洞補(bǔ)丁(部分情況下如果缺少前置補(bǔ)丁可能導(dǎo)致MS17-010打不上,建議直接使用騰訊管家之類的工具直接更新補(bǔ)丁)。

https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

5

重啟服務(wù)器或者PC,再查殺一次,確保沒有病毒。

6

重新開啟關(guān)閉的端口或者接上網(wǎng)線。


掃一掃添加微信

Copyright @ 2021 . 深圳市眾為技術(shù)科技有限公司  All rights reserved.   粵ICP備2022005343號-1

聯(lián)系我們

電話:0755-23769470

          181 2477 3036(王先生)

          130 0544 5008(劉先生)
QQ:1258340901
郵箱:alex.wangyake@zonwer.cn
址:深圳市龍華區(qū)民治大道華星大廈506室

  • 电话直呼

    • 0755-23769470
    • 18124773036
    • 13005445008
    • 王先生 :
  • 掃一掃添加微信咨詢

seo seo