勒索病毒视角下，企业的安全治理！

内容来源：2018年3月29日，深信服浙江安全业务总监李哲在博学网实践月：信息安全技术在线直播分享进行《勒索病毒视角下，企业的安全治理》主题演讲。博学网作为主办方，经和讲者审阅授权发布。

勒索病毒原理

什么是勒索病毒

主机感染勒索病毒文件后，会在主机上运行勒索程序，遍历本地所有磁盘指定类型文件进行加密操作，加密后文件无法读取。然后生成勒索通知，要求受害者在规定时间内支付一定价值的比特币才能恢复数据，否则会被销毁数据。

什么是挖矿木马

黑客通过木马控制大量肉鸡电脑戒服务器，为其制造虚拟货币，占用大量的系统资源。

勒索病毒传播需要植入到受害者主机的常见四种方式

钓鱼邮件

恶意代码伪装在邮件附件中，诱使打开附件

典型案例：Locky、Petya变种

主要对象：个人PC

蠕虫式传播

通过漏洞和口令进行网络空间中的蠕虫式传播

典型案例：WannaCry、 Petya变种

主要对象无定向，自动传播都有可能

Exploit Kit分发

通过黑色产业链中的Exploit Kit来分发勒索软件

典型案例：Cerber

主要对象：有漏洞的业务Server

暴力破解

通过暴力破解RDP端口、 SSH端口，数据库端口

典型案例：java 、

Globelmposter变种

主要对象：开放远程管理的Server

勒索病毒变种样本及案例分析

勒索病毒的变种1

WannaCry变种

该变种跟之前流行一时的对主机进行勒索的WannaCry主要有以下发化：

1.KillSwitch开关不再有效；

2.勒索程序运行失效；

3.蓝屏症状［堆喷射技术］。

注意：由于该变种病毒不再受KillSwitch影响，可能会像当年的飞客蠕虫一样，感染量较大。

勒索病毒——Globelmposter

Globelmposter家族首次发现在2017年5月份，本次发现的样本为Globelmposter家族的最新样本——

1.没有内网传播功能，其加密文件使用TECHNO.DOC、.CHAK、 .FREEMAN、 .TRUE等形式扩展名；

2.取消了勒索付款的比特币钱包地址以及回传信息的“洋葱”网络地址，而是直接通过邮件地址告知受害者联系，然后取得相应的付款方式；

3.由于Globelmposter采用RSA2048算法加密（高强度非对称加密方式），受害者在没有私钥的情况下无法恢复文件，如需恢复重要资料只能被迫支付赎金。

勒索病毒的变种2——WannaMine

此次攻击，是经过精心设计的，涉及的病毒模块多，感染面广，关系复杂。其最终目的不再是勒索，而是长期潜伏挖矿，默默赚外快。虽经变种，但传播机制一致，故我们将其命名WannaMine.

勒索病毒应急处置与加固

“中招”怎么办？

隔离感染主机：已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡;

切断传播途径：关闭潜在终端的SMB，RDP端口。关闭异常的外联访问;

查找攻击源：手工抓包分析供给源或借助安全感知类产品分析;

查杀病毒，修复漏洞：查杀病毒，打上漏洞补丁，修改口令。

勒索病毒预防措施

1）弱口令

避免弱口令，避免多个系统使用同一口令

2）应用服务

终端：关闭Windows共享服务、远程桌面控制等不必要的服务

网络：防火墙做好应用控制，关闭互联网访问

3）漏洞管理

定期漏扫

及时打补丁，修复漏洞

4）杀毒软件 安装杀毒软件

5）数据备份 对重要的数据文件定期进行非本地备份

6）安全意识宣传

不使用不明来历的U盘、移动硬盘等存储设备

不要点击来源不明的邮件以及附件

不接入公共网络也不允许内部网络接入来历不明外网PC

7）安全体检服务

深信服的最佳实践

1.全方位安全服务

2.勒索病毒风险评估

云扫描：远程云扫描，发现暴露在互联网上的安全脆弱性，防止被勒索病毒戒攻击者利用；

本地安全检查：通过在内网和本地扫描存在的安全威胁，防止被勒索病毒利用进行传播；

口令扫描：扫描开放服务是否存在弱口令，避免通过弱口令入侵植入勒索病毒。

3.流量防御

1.漏洞阻断：阻断病毒传播的漏洞流量；

2. 暴力破解防护：阻断弱口令攻击尝试；

3. 邮件查杀：对邮件附件进行查杀，识别恶意的邮件附件；

4.下载文件云查杀：对下载的可执行文件进行云查杀，阻断勒索病毒的下载。

4.快速响应

1.扫描策略快速下发：快速下发勒索病毒的脆弱性扫描策略，检测是否存在感染隐患。

2.流量端点协同响应：自动阻断木马与黑客通信，端点执行扫描、查杀等动作。

3.高级专家应急处理：全国各地中小城市均设办事处，7*24小时在线专家。