勒索病毒是近年来增长迅速且危害巨大的网络安全威胁,它可以通过各种方式进行攻击,包括通过漏洞利用、电子邮件、程序木马、网络下载等方式进行传播。该病毒性质恶劣、危害极大,一旦感染将会给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密并勒索高额赎金,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。因此,防范勒索病毒非常重要。黑客在植入病毒完成加密后,会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。如果计算机出现了以下特征,可表明已经中了勒索病毒:
1、电脑桌面被篡改
服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式。
下面为电脑感染勒索病毒后,典型的桌面发生变化的示意图。
2、文件后缀被篡改
服务器感染勒索病毒后,另外一个典型特征是文件后缀被篡改。目前,勒索病毒的主要类型有文件加密类勒索病毒、数据窃取类勒索病毒、系统加密类勒索病毒、屏幕锁定类勒索病毒。这些勒索病毒一般都通过下列几种方式进行传播:
(1)利用安全漏洞传播。
攻击者利用弱口令、远程代码执行等网络产品安全漏洞(这些漏洞多是已公开且已发布补丁的漏洞,且未及时修复的),攻击入侵用户内部网络,获取管理员权限,进而主动传播勒索病毒。
(2)利用钓鱼邮件传播。
攻击者将勒索病毒内嵌至钓鱼邮件的文档、图片等附件中,或将勒索病毒恶意链接写入钓鱼邮件正文中,通过网络钓鱼攻击传播勒索病毒。一旦用户打开或点击,病毒就会自动加载、安装,进而威胁整个网络安全。
(3)利用网站挂马传播。
攻击者通过网络攻击网站,以在网站植入恶意代码的方式挂马,或通过主动搭建包含恶意代码的网站,诱导用户访问网站并触发恶意代码,劫持用户当前访问页面至勒索病毒下载链接并执行,进而向用户设备植入勒索病毒。
(4)利用移动介质传播。
攻击者通过隐藏U盘、移动硬盘等移动存储介质原有文件,创建与移动存储介质盘符、图标等相同的快捷方式,一旦用户点击,将自动运行勒索病毒,或运行专门用于收集和回传设备信息的木马程序,便于未来实施针对性的勒索。
(5)利用软件供应链传播。
攻击者利用软件供应商与软件用户间的信任关系,通过攻击入侵软件供应商相关服务器设备,利用软件供应链分发、更新等机制,在合法软件正常传播、升级等过程中,对合法软件进行劫持或篡改,规避用户网络安全防护机制,传播勒索病毒。
(6)利用远程桌面入侵传播。
攻击者通常利用弱口令、暴力破解等方式获取攻击目标服务器远程登录用户名和密码,进而通过远程桌面协议登录服务器并植入勒索病毒。同时,攻击者一旦成功登录服务器,获得服务器控制权限,可以服务器为攻击跳板,在用户内部网络进一步传播勒索病毒。
以下是一些防范勒索病毒的方法和步骤:
一、更换弱口令(电脑/服务器/数据库的密码)
弱口令是勒索病毒攻击的最主要途径之一。因此,若用户的计算机系统的密码较为简单,用户应该为计算机系统更换密码,避免设置较简单的密码,应该将电脑密码设置为较为复杂的密码。
方法一:尽量使用“字母+数字+特殊符号”形式的高强度密码,在密码长度上可以设置8位或更多位密码,夹杂字母、数字和符号。
方法二:用几个词组成的非固定短语做密码,词与词之间可用下划线等符号分隔,最好使用非常用的固定搭配,比如“youithink”比“imissyou”好,“%you_i_think%”这样包含符号的更为安全。
方法三:对于实在记不住复杂密码,必须要使用名字、纪念日或电话号码设置密码的,则建议使用某种方法进行变换。比如可以敲击键盘的左上一个键来改换拼音字母,如:“wang”在改换后会成为“2yqht”,如此被猜到或破解的可能性就会大幅降低。
二、安装安全防护软件
推荐下载使用火绒安全软件,无广告且体积小,其次是360杀毒。安装安全防护软件可以有效地防止勒索病毒的攻击。我们应该打开安全软件的防护功能,保持防护开启状态,并保持病毒库更新状态。
同时,定期进行安全扫描和漏洞扫描,及时发现和修复安全问题。定期进行全盘扫描和实时监控,及时发现和清除病毒。
三、加强安全意识
校内师生应该了解勒索病毒的危害和传播途径,以下是几点建议:
1. 不要轻易下载或点击不明来源的文件,请勿打开可疑的网站链接。
2. 避免打开陌生邮件地址发送的邮件、邮件的链接及其附件。
3. 定期关闭电脑,以防止病毒不断进行爆破攻击。
4. 为计算机系统设置强密码,并定期更换密码,避免被攻击者破解。
5. 在家办公需要连校园网时,请确保使用VPN连接内部网络;而向日葵、todesk等其他远程连接方式感染病毒较大,闲置时请勿打开。
6. 服务器或计算机闲置时,请勿开放不必要的数据库端口、局域网共享端口和远程访问、远程登录、远程连接相关的接口和服务。需要远程连接时再打开,远程连接后即立刻关闭远程访问功能。
7. 尽量使用正版软件,请勿使用破解软件和激活工具(特别是教职工)。很多破解软件都会或多或少带点木马。网络与信息中心官网为大家提供了很多软件的正版化。
8. 在PC端的设置 - 网络与Internet - WLAN - IP分配中,改为自动DHCP分配。
9. 请勿连接未经授权的USB或SD卡或其他外部存储介质(包括个人使用)。
10. U盘等外部存储介质在连接计算机设备与PC时须先经过杀毒操作。(火绒、360等安全软件一般会自动扫描)
四、备份重要数据
备份重要数据可以有效地避免勒索病毒攻击造成的数据损失和泄露。用户应该定期备份重要数据,并将其存储在安全的地方,如云端或外部存储设备中。
五、加强漏洞修复
1.立即停止使用Windows XP、Windows 2003、Windows Vista等微软不再提供安全更新的操作系统,可以在东南大学网络与信息中心下载正版win10系统。用户应该及时修复计算机系统和应用软件中存在的漏洞,并及时安装Windows漏洞补丁和升级程序。
2.确保一些常用的软件保持最新版本,定期更新电脑中的软件,以避免旧版本中可能存在的安全漏洞。
六、使用安全的网络环境和网络设备
使用安全的网络环境和网络设备可以有效地避免勒索病毒的攻击。用户应该选择可靠的网络安全产品和网络设备,并避免使用不可信的Wi-Fi。
七、已受到勒索病毒攻击怎么办
最后,如果已经受到勒索病毒攻击,千万不要轻易支付赎金。由于赎金多数为比特币等加密货币形式,加密货币一旦支付则基本不可能追回。支付赎金只会刺激攻击者继续攻击并进行勒索,同时也不能保证数据能够被解密。也暂时不要先查杀该病毒,因为某些勒索病毒采用了将用户文件加密并植入病毒的方式,如果你查杀了病毒,也就同步删除了被加密的文件。相反,我们应该第一时间与网络与信息中心联系,以寻找更有效的解决方案。勒索软件防范指南见:/seu/smu_nic/info/1056/1702.htm
参考链接:
https://zhuanlan.zhihu.com/p/55***5767?utm_id=0
https://www.duotin.com/en/78474.html
https://baijiahao.baidu.com/s?id=173433******37**430&wfr=spider&for=pc
https://nic.whu.edu.cn/info/1095/1778.htm