近期,我们发现市面上勒索病毒的活跃程度不减。一款称为“撒旦(Satan)”的勒索病毒新变种虽然已于前一段时间被发现,但仍然对不少企业和机构造成了影响。

新的病毒变种除了使用“永恒之蓝”漏洞攻击工具外,在感染传播方式上也有了非常大的改进,目前如果仅仅修复“永恒之蓝”漏洞已不能防御有效。最早的撒旦(Satan)勒索病毒于2017年初被外媒曝光,在一年多的时间内已发展成为对企业用户威胁最大的勒索病毒之一。

与以往主要通过“永恒之蓝”漏洞进行攻击不同,撒旦(Satan)勒索病毒最新变种还携带了包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss默认配置漏洞(CVE-2010-0738)、Put任意上传文件漏洞、Weblogic WLS 组件漏洞(CVE-2017-10271)在内的多个高危漏洞攻击模块,以及Tomcat web管理后台弱口令爆破,令病毒感染扩散能力和影响范围显着增强。

根据我们掌握的情况,不少勒索病毒感染事件产生的原因,是企业或机构的网络安全措施缺失或过于简陋,如果能够部署较为完善的防护手段,勒索病毒并非无法防御。由于勒索病毒的特殊性,一旦感染,目前的技术手段无法保证能够完全恢复,因此除了安全防护外,应当做好数据备份,尽可能在发生此类事件后挽回损失。

我们再次提醒广大用户,目前针对勒索病毒仍然以防为主,由于目前大部分勒索病毒加密后的文件都无法解密,因此日常防范措施格外重要。除了定期对重要文件、重要业务数据做好非本地备份外,尽量关闭不必要的端口、不必要的文件共享,以及采用高强度的密码,防止被黑客暴力破解。

2018年勒索病毒仍然是Windows终端安全最大的安全威胁之一,它严重影响受害者的正常业务,其中感染方式也在不断的更新中,各类安全风险也一直存在。

这一年来勒索病毒的变化

企业服务器成重灾区

服务器一般数据资产价值要大大高于个人PC,虽然感染的绝对量没有个人PC用户多,但造成的损失和影响范围却远高于个人PC用户。所以对于攻击者来说,攻击服务器似乎是一种“事半功倍”的牟利方法。

对中小企业影响大

据数据显示,在受到勒索病毒攻击的服务器中,互联网,工业企业,对外贸易与批发零售,政府机构合计占比超过一半。其中尤以中小企业与中小互联网企业最为突出,企业在网络安全方面投入不足,而产品销售维护又严重依赖互联网信息系统,在中招之后只能选择支付赎金解决,这也进一步刺激了黑客的攻击行为。

攻击常态化 变种花样多

除了WannaCry、Petya等感染规模巨大的勒索病毒之外,在这一年中,其他勒索病毒逐渐呈现出常态化攻击趋势:变种频出,花样繁多。

制造门槛降低

越来越多的黑客想从中分一杯羹,因此慢慢出现了使用PHP、Python、Powershell等语言编写的勒索病毒,甚至另一种简单易用的脚本语言——AutoIt语言也被发现用于编写一种名为CryptoWire的勒索病毒,从趋势上来看勒索病毒的“技术准入门槛”越来越低,呈现框架化的态势,甚至可以一键生成。

可议价 少见一刀切

从去年下半年开始,勒索病毒渐渐不再“不付赎金就撕票”那么直接粗暴,而是与受害者通过邮件或通讯软件进行“讨价还价”。WannaCry事件前后,攻击者一般都会开出3个比特币的高额赎金。现在则一般为0.8个比特币,约合500美金左右。

病毒汹汹来袭,企业如何处置?

确保安全最优先的方式就是预防,我们建议企业用户尽快检查补丁安装情况,未安装MS17-010漏洞补丁请尽快安装补丁。

可以利用工具扫描一下服务器的漏洞和补丁情况。

除此之外,还可以从服务器、网络环境、应用系统等三个层面进行安全风险检查与加固。

1、服务器层面

避免弱口令,使用强口令,避免多系统使用同一口令;及时安装漏洞补丁;关闭Windows共享服务、远程桌面控制等不必要的服务;安装防病毒、终端安全管理软件,并及时更新将病毒库。

2、网络环境层面

做好安全区域隔离工作,尤其针对重要业务系统及核心数据库,应该设置独立的安全区域;做好区域边界的安全防御,严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务。

3、应用系统层面

做好应用系统安全渗透测试与加固工作,保障应用系统自身安全可控,对业务系统及数据进行备份,并验证备份系统及备份数据的可用性,一旦主系统遭受攻击,保障备份业务系统可以立即启用;同时,做好主系统与备份系统的安全隔离工作,避免两系统同时被感染、被攻击。

万一不幸已经中招了呢?

对于已被勒索病毒感染的用户,首要任务是避免勒索病毒在内网中进一步传播,可以采取以下措施:

1、隔离被感染区域与其他安全域的连接

2、对被感染服务器区域的服务器进行漏洞排查

3、增强业务系统主机的账号密码强度,防止密码爆破

4、服务器数据进行横向移植,重新搭建全新平台

针对未来可能会出现的变种病毒及攻击工具,安全狗会持续跟踪,实时更新防护规则,请用户把系统补丁更新打开并安装相应的安全产品;针对重要文件数据的完整性、可用性以及业务连续性,还需要采取主动的保护措施,以防感染病毒造成更大的损失。