比特币价格的推手之一：勒索病毒！再谈勒索病毒的防御

近两年来，勒索病毒全球肆虐，一度成为比特币价格居高不下的推手之一，由于病毒不断地变化、升级，使得被恶意锁住的重要数据文件，只能以支付比特币的方式向黑客妥协，造成巨额的财务损失不说，很多中毒的企业，还直接面临停产、停工，损失更惊人。

需要特别注意的是，有些国家和地区的法律明确规定：给黑客支付比特币以赎回数据文件的2行为，是违法行为！至少会面临被罚款的惩戒措施。

2020年6月12日，笔者已经写过一篇文章：巧用防火墙阻挡勒索病毒，但那是远远不够的，今天再来说一些方法吧，也算是给我的客户、我的粉丝们一些提醒和交待。

勒索病毒的类型：

知彼知己，百战不殆。先来了解一下勒索病毒的类型吧：

1、锁屏型勒索病毒，顾名思义，中毒后，直接用不可描述的图片把屏幕锁住，并且要求受害者支付赎金换取解锁密码，也有些网络犯罪分子会伪装成执法人员，声称发现用户传播了非法内容，要求支付罚款，否则将被“逮捕”。

2、隐私型勒索病毒，即Doxware型勒索病毒，网络犯罪分子宣称掌握了受害者的个人隐私数据或者隐私行为，如果受害人不按时支付赎金，则个人隐私会被公诸于世，造成的危害相当严重。

3、加密型勒索病毒，笔者认为当今最可恶、最可恨的勒索病毒，没有之一！进入系统后，利用复杂的加密算法，对硬盘内大量的数据文件进行快速加密，受害者必须在一定的时间内以比特币的形式支付赎金。由于加密算法无法破解，比特币交易不可追溯，加密型勒索病毒，已经成为当今最为流行的勒索病毒了。

勒索病毒的入侵方式：

1、垃圾邮件：攻击者伪装成合法机构、企业或者受害者的联系人，在邮件中添加伪装成合法文件的恶意附件，或在邮件正文中提供恶意 URL 链接。攻击者会诱导收件人打开恶意附件，或者访问恶意链接。如果采用恶意附件方式，收件人打开附件时，勒索软件就被暗中下载，然后开始扫描用户设备上的文件并加密。如果采用恶意链接方式，则攻击者会提前在该网页上挂马，收件人单击链接后会进入此网页，勒索软件就会在收件人浏览网页时将病毒传送至用户设备。

2、漏洞利用：

漏洞是操作系统或应用程序中的编码错误。攻击者经常使用漏洞攻击包来检测设备的操作系统或应用程序中是否存在可用于传送和激活勒索软件的安全漏洞。最典型的案例莫过于2017年WannaCry事件。Windows系统中存在一种名为“永恒之蓝”的已知漏洞，WannaCry利用此漏洞，在企业内网快速扩散。据统计，仅2017年5月12日，就有超过90万台主机被感染。此后，利用漏洞进行扩散的勒索软件开始爆发。

3、暴力破解：

暴力破解是最简单直接的入侵方式。攻击者使用工具扫描暴露在互联网上的高危端

口，然后通过字典攻击入侵。用户系统中如果存在弱口令，则极易被暴力破解渗透。

勒索软件最常用的传播方式就是针对远程桌面服务的暴力破解。

笔者有一次接到客户电话，说是ERP无法登录，登录服务器后发现，系统字体有变化，看上去怪怪的，再仔细一看，发现被安装了德语的语言包，笔者的心顿时往下一沉，再看各类文件，果然是中了勒索病毒！应该是黑客暴力破解了服务器的管理员密码，看不懂中文，就装了个语言包，然后把勒索病毒手动放到服务器桌面上，不仅如此，可恶的黑客还利用管理员帐户的特权，把群晖存储中的快照全部删了个干净。直接造成客户停工、停产数日，经济损失不可估算。

勒索病毒的防御：

1、及时更新补丁，无论是系统补丁还是应用程序的补丁，都需要及时更新，虽然微软的更新经常有问题，但是总比中勒索病毒好吧？

2、密码复杂，经常更换，网关设备、服务器及电脑的密码要足够复杂，至少10位长，要有大小写英文字母、数字和特殊符号，特殊符号以2-3个为佳，少了不够复杂，多了记不住。

3、离线备份，面对日益猖獗的勒索病毒和黑客攻击，定期执行离线备份才是万全之策。

4、部署网络版杀毒软件，比如说火绒，就是不错的杀毒软件，在防勒索方面，有一定的功效。

5、购买专业的防勒索软件，目前市面上已经有不错的防勒索软件的销售，主要原理是白名单机制，严格控制访问文件的进程，从而杜绝勒索病毒对文件的写入操作。

6、硬件防火墙配置防护手段：

需要说明的是，硬件防火墙要购买相应的安全授权，不然跟路由器没多大区别，以下操作默认为已经购买并且激活安全授权：IPS、AV、URL。

（1）在防火墙上阻止高危端口：

创建一个服务组：选择“对象 > 服务 > 服务组”菜单，单击“新建”按钮。在

“可选”窗格中输入端口号（135、137、138、139、445、3389），查询对应的服务，并添加到“已选”窗格。

创建一条安全策略：选择“策略 > 安全策略 > 安全策略”菜单，单击“新建安全

策略”按钮。设置服务为新创建的服务组“High-risk ports”，“动作”为“禁止”。配置完成后，置顶。

（2）在防火墙上配置IPS

检查签名的缺省动作。选择“对象 > 签名”。在搜索框中输入签名ID，检查其动

作。以下漏洞利用类签名的缺省动作应为阻断，如果不是阻断，请记录。

签名ID：13830、18822、24550、284600、370090、372110、372130、372280、

372290、372300、377950。

创建一个IPS配置文件。选择“对象 > 安全配置文件 > 入侵防御”。选中

“default”配置文件，单击“复制”。在如下对话框中，修改其名称和描述

添加例外签名。在例外签名页签的输入框中，逐个输入以下暴力破解类签名ID，并

回车。然后修改其动作为“阻断”（或“阻断 and 隔离源IP”）。步骤1记录的签名

ID，也需要添加到例外签名中。

签名ID：1000127、1000133、1000255、1000264

应用IPS配置文件。选择“策略 > 安全策略 > 安全策略”，编辑已创建的安全策

略，引用刚创建的IPS配置文件。

（3）在防火墙上配置AV

创建一个AV配置文件。选择“对象 > 安全配置文件 > 反病毒”。单击“新建”，

在对话框中，调整邮件协议的动作为“宣告”

应用AV配置文件。选择“策略 > 安全策略 > 安全策略”，编辑已创建的安全策

略，引用刚创建的AV配置文件

设置邮件宣告信息。选择“系统 > 配置 > 推送信息配置”，单击“邮件宣告信

息”，按照模板编辑宣告信息，并导入。

例如：

本邮件的附件（%FILE）中含有病毒，请勿打开。

其中，%FILE是邮件附件的文件名。当收件人收到带有病毒的邮件时，邮件正文中将带

有这条提示信息。

（4）在防火墙上阻止恶意URL

创建一个URL过滤配置文件。选择“对象 > 安全配置文件 > URL过滤”。单击“新建”，在对话框中，启用“恶意URL检测”。

确保“恶意网站”和“其他类”网站的动作为阻断。

应用URL过滤配置文件。选择“策略 > 安全策略 > 安全策略”，编辑已创建的安全

策略，引用刚创建的URL过滤配置文件。

虽说道路千万条，安全第一条，可要是真中毒了，那也没办法，付不起比特币，那也不能直接格式化，还得一步一步来：

1、中毒的服务器或者电脑，及时断开网络，以免造成大面积感染；

2、数据库文件由于其特殊性，恢复的可能性还是很大的，千万不要放弃；

3、全盘杀毒，并且检索出还没被勒索病毒加密的文件，及时拷贝出来；

4、勒索病毒加密的样本文件发给专业人员，还有一线希望就不要放弃；

5、分析中毒原因，杜绝二次中毒；

6、确定数据不可解锁，那留着也没用了，中毒服务器格式化所有硬盘，重装系统，重新部署。

——笔者为网络工程师，擅长计算机网络领域，创业多年，希望把自己的经验分享给大家，如有相同或者不同观点，欢迎评论。