根據“火絨威脅情報系統”監測,近期出現多起勒索病毒加密文件后綴名為“shanghai3”和“beijing”事件,極具地域性和本土特色,請廣大用戶小心。
需要注意的是,此前同一個勒索病毒加密文件后綴名具有固定格式,作為和其它勒索病毒區分特征之一。比如勒索病毒Globelmposter加密文件的后綴名通常為某希臘主神名或動物名+數字(“Zeus666”或“Pig4444”等)。
而此次火絨監測到的兩個同為地名的勒索病毒加密后綴名,雖然格式極為相似,但卻分屬兩個不同的病毒所為。
這一現象側面反映了,勒索病毒在活躍的同時,也在時刻變化著。而根據“火絨威脅情報系統”的監測以及在服務用戶問題中發現,勒索病毒的攻擊渠道、攻擊方式等也在增加和改變,導致用戶面臨的安全風險進一步增加。因此,對于勒索病毒的認知和對抗,重點依舊在于提前防護和及時響應。
在此,我們根據“火絨威脅情報系統”的監測和統計,選出幾個典型的場景加以說明,并提供相對應的有效預防方式,幫助用戶避免風險。
一、漏洞利用或逐漸增加
在以往,勒索病毒運營商遠程主動向用戶發起攻擊的方式有兩個:1、直接通過弱口令暴力破解進入用戶系統;2、通過黑市購買遠程登錄憑證進行入侵。
而在近期,火絨“威脅情報系統”監測到有漏洞攻擊在大面積、高頻次的爆發(詳見報告《注意!近期漏洞攻擊頻次均值上漲282% 》 )。值得警惕的是,我們在被這次漏洞攻擊影響的用戶現場發現了勒索病毒。
要知道,此前WannaCry勒索病毒席卷全球,正是利用“永恒之藍”漏洞大面積傳播。而上述火絨監測到的漏洞攻擊除了通過“永恒之藍”外,還有CVE-2020-0796和CVE-2019-0708等多種漏洞。
上述現象或許表明,勒索病毒已經具備了可以穩定使用漏洞主動發起范圍性攻擊的可能。這對于用戶而言,特別是IP暴露在外網,又不方便脫產打補丁的企業用戶,無疑又增加了被勒索的風險。
預防響應:
1、及時打補丁。
2、對于不便打補丁的用戶,可開啟火絨【網絡入侵攔截】功能(企業產品為【黑客入侵攔截】),對服務器提供"虛擬補丁"進行防御,降低因暫時無法安裝補丁帶來的風險。
二、借助黑客工具精準勒索
通過“火絨威脅情報系統”發現,在不少企業終端上,存在被入侵并留下黑客滲透工具的現象。
這些黑客工具原本屬于正常程序(如PowerShell、PsExec等),但會被黑客用來尋找企業終端中的關鍵服務器,從而在后續的入侵中,幫助勒索病毒對重要的信息數據進行精準的加密,更“順利”的勒索贖金。
實際上,在目前發生的安全事件中,有30%都與正常工具遭黑客利用有關。這種入侵模式,已然成為一條完整的勒索病毒攻擊產業鏈:通過黑客工具,尋找合適服務器,然后將信息提供給勒索病毒作者,最后合作完成勒索任務。這種精準有預謀的勒索形式,對企業的危害也將是巨大的。
預防響應:
1、增加口令強度。
2、企業用戶安裝火絨企業版并定期掃描(火絨對黑客工具會做報毒處理),發現黑客工具可及時聯系火絨,獲取專業的、有針對性的安全加固。
3、 個人用戶可開啟【訪問控制】-【程序執行控制】中,開啟【風險工具】功能,阻止黑客工具運行。
三、利用“關聯單位” 作為攻擊跳板
在不同企業之間,因為業務需求和聯系而建立互相訪問的網絡,或者職能相近的政企單位共用一個網絡,已經是常見的網絡管理現象。
這種網絡共享的方式在一定程度上方便了企業之間的辦公,但也同時也讓企業面臨更多的安全風險。因為共享網絡就像一個安全防護缺口,黑客可以在入侵網絡內任何一家企業后,以之為跳板,攻擊其它的企業。一旦被攻擊的其它企業未做防護,將面臨各類安全風險。
在火絨幫助企業用戶現場查看問題時,經常在火絨中心日志上發現攔截大量來源于不同企業、單位甚至相鄰部門的攻擊信息。
防御響應:
1、對于同一網絡環境下的其它企業或部門,在無業務需求的情況下,進行網絡隔離。
2、企業或單位統一部署終端安全軟件,并在安全工程師指導下開啟相關防護功能。
安全總結:
勒索病毒對用戶的傷害在于加密文件索要贖金的行為,在安全響應策略中,提前防御、攔截的重要程度要更高于中毒后的查殺掃描。
無論是企業還是個人用戶,都應該做好終端與服務器的安全防護,加固易被攻破入侵的安全缺口。更重要的是,在做好防御策略后,還要堅持不斷地執行,謹防出現因業務需求關閉防護措施造成的風險缺口。
