本文目录一览:
勒索病毒的攻击过程是怎样的?
勒索病毒工作原理:
勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。
1、针对个人用户常见的攻击方式
通过用户浏览网页下载勒索病毒,攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等,诱导受害者下载运行病毒,运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。针对个人用户的攻击流程如下图所示:
攻击流程
2、针对企业用户常见的攻击方式
勒苏病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中,钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。
1)系统漏洞攻击
系统漏洞是指操作系统在逻辑设计上的缺陷或错误,不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。同个人用户一样,企业用户也会受到系统漏洞攻击,由于企业局域网中机器众多,更新补丁费时费力,有时还需要中断业务,因此企业用户不太及时更新补丁,给系统造成严重的威胁,攻击者可以通过漏洞植入病毒,并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在网络中迅速传播。
攻击者利用系统漏洞主要有以下两种方式,一种是通过系统漏洞扫描互联网中的机器,发送漏洞攻击数据包,入侵机器植入后门,然后上传运行勒索病毒。
通过系统漏洞扫描网络中的计算机
另外一种是通过钓鱼邮件、弱口令等其他方式,入侵连接了互联网的一台机器,然后再利用漏洞局域网横向传播。大部分企业的网络无法做到绝对的隔离, 一台连接了外网的机器被入侵,内网中存在漏洞的机器也将受到影响。
入侵一台机器后再通过漏洞局域网横向传
网上有大量的漏洞攻击工具,尤其是武器级别的NSA方程式组织工具的泄露,给网络安全造成了巨大的影响,被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具,封装为图形化一键自动攻击工具,进一步降低了攻击的门槛。
2)远程访问弱口令攻击
由于企业机器很多需要远程维护,所以很多机器都开启了远程访问功能。如果密码过于简单,就会给攻击者可乘之机。很多用户存在侥幸心理,总觉得网络上的机器这么多,自己被攻击的概率很低,然而事实上,在全世界范围内,成千上万的攻击者不停的使用工具扫描网络中存在弱口令的机器。有的机器由于存在弱口令,被不同的攻击者攻击,植入了多种病毒。这个病毒还没删除,又中了新病毒,导致机器卡顿,文件被加密。
通过弱口令攻击和漏洞攻击类似,只不过通过弱口令攻击使用的是暴力破解,尝试字典中的账号密码来扫描互联网中的设备。
弱口令扫描网络中的计算机
通过弱口令攻击还有另一种方式,一台连接外网的机器被入侵,通过弱口令攻击内网中的机器。
入侵一台机器再弱口令爆破局域网机器横
3)钓鱼邮件攻击
企业用户也会受到钓鱼邮件攻击,相对个人用户,由于企业用户使用邮件频率较高,业务需要不得不打开很多邮件,而一旦打开的附件中含有病毒,就会导致企业整个网络遭受攻击。钓鱼邮件攻击逻辑图:
钓鱼邮件攻击逻辑
文章转载至:2018勒索病毒全面分析报告
勒索病毒主要通过什么方法攻击电脑?
勒索病毒简介
勒索病毒,是一种新型电脑病毒,主要以邮件,程序木马,网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
传播途径
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的CC服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
根据勒索病毒的特点可以判断,其变种通常可以隐藏特征,但却无法隐藏其关键行为,经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面:
1、通过脚本文件进行Http请求;
2、通过脚本文件下载文件;
3、读取远程服务器文件;
4、收集计算机信息;
5、遍历文件;
6、调用加密算法库。
为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:
1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击;
2、尽量不要点击office宏运行提示,避免来自office组件的病毒感染;
3、需要的软件从正规(官网)途径下载,不要双击打开.js、.vbs等后缀名文件;
4、升级深信服NGAF到最新的防病毒等安全特征库;
5、升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;
6、定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复。
如何应对文档勒索事件?
现如今的互联网其实并没有那么的安全,就拿文档安全具体,近年来的企业频频出现文档泄密事件,而且近期又出现了文档被勒索的事情,让很多企业对文件安全很担心,有什么办法能够应对文档勒索事件呢?
文档被勒索的方式主要是通过程序进入到我们使用过的电脑中,然后对电脑中保存的文档进行索取的行为,如何去防范程序对文件索取成了头疼的问题,可以用域之盾对电脑中的文件进行文档防勒索保护,可以选择对应日常办公的文档类型,完成后就能够默认阻断所有程序对文档的访问操作了,然后再通过程序特征指纹库对安全程序放行其访问操作,再进行文档防勒索日志统计,详细记录下每个程序对文档的勒索行为,这样有助于管理者后期能够加快处理文档安全事件的时间。其原理就是通过采用文档底层防火墙来默认阻断所有程序对文档的访问,然后在放行,这样就保障了电脑中文件的安全性。
勒索病毒怎么防范?
首先,要备份你电脑中所有的文件。因为一旦文件有了备份,那么哪怕勒索病毒删除或加密你的文件,都不会受影响。备份方式则最好选取实时备份,例如CDP就是很好的预防勒索病毒的软件。英方的i2CDP可以将文件实时备份到归档池内,哪怕主机的文件被勒索病毒加密和删除,备机也会保存原始文件。
其次,检查系统中的漏洞。勒索病毒虽然无处不在,但是主要的感染和传播途径还是通过系统中的漏洞。一旦系统出现漏洞,需要进行及时的修复,才能降低感染勒索病毒的频率。
除此之外,还要避免在服务器中使用过于简单的口令。登录口令尽量采用大小写字母、数字、特殊符号混用的组合方式,并且保持口令由足够的长度。同时添加限制登录失败次数的安全策略并定期更换登录口令。多台机器不要使用相同或类似的登录口令,以免出现“一台沦陷,全网瘫痪”的惨状。
同时,一旦感染勒索病毒,不要试图通过给黑客打钱来解决问题,一定要在勒索病毒爆发之前就做好准备。黑客的要价逐年增高,一旦通过这种方式找回文件,无疑是助长黑客的气焰。
最后,提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件。
富士康遭黑客勒索,黑客勒索行为如何解决?
随着一家公司在社会当中的影响力越来越大,自身的金钱和声望也是不断的增强的,在这种情况之下肯定会有一些问题发生的,其实富士康的这一次事件就很好的印证了。扶持刚才发生这件事情的时候,首先想到的是寻找警察的帮助,因为警察在这个社会当中才能够给予一个更好的解决办法。
加强自身的安保工作
我认为富士康的安保工作必须要做好,因为在每一次发生事情的时候,自身的安保工作肯定是存在缺陷的,如果自身安保工作不存在缺陷的话,那么是不可能发生这样的事情的,必须要从社会上雇用更多的人去做这方面的工作,这其实也是为了企业自身着想的富士康值得这么去做。
需要警察的帮助
警察的帮助是至关重要的,警察能够获得更多的线索,而且所利用的工具也是更先进的,所用的资源也是更多的,所以寻找警察的帮助是一件效率更高的事情。
对于黑客勒索行为进行大力的处罚
在警察抓住黑客之后,必须要对于黑客的行为进行大力的惩罚,只有这样才能够给社会当中树立一个榜样,才能够让其他的犯罪嫌疑人不会蠢蠢欲动,这也是为了保护社会安全。
对于富士康这家大公司而言,必须要做好以上三个方面的工作,才能够保护好自己的利益,才能够获得一个更好的发展,其实富士康在这一个世界当中,遭遇了非常大的损失,不仅仅自己的财物受到了损失,而且在社会当中的商誉也受到了损失。其实每一家企业在发生这种事情的时候,都必须要寻找警察的帮助,因为警察在这个社会当中的工作就是这样的,如果能够去找警察的帮助,那么自身的麻烦肯定会被解决的。