一, 什么是勒索病毒
2017 年 5 月 12 日, 一种名为 "wanna cry" 的勒索病毒袭击全球 150 多个国家和地区, 影响领域包括政府部门, 医疗服务, 公共交通, 邮政, 通信和汽车制造业. 其中 Windows 系统受创最重.
和相比之前一些大面积爆发的病毒例如熊猫烧香, 冲击波 (Blaster) 等等不同, 黑客使用这种病毒的目的并不再是单纯的炫技 (单纯地攻击电脑的软硬件) 而是为了索财. 当黑客植入勒索病毒后, 电脑当中的文件会被加密, 导致无法打开.
黑客会要求你提供一个比特币(大致 2000 元人民币, 且在规定时间内如果没有进行交付金额会翻倍), 才会给你提供解锁的密码. 而交付的赎金是比特币的原因是因为这种虚拟货币是不易被追踪, 且容易隐藏黑客的真实身份.
病毒的设计者特意把勒索的说明信息翻译成了 20 多个国家和地区的语言版本, 好让全世界每一个中了病毒的人都能看懂付款信息, 可见野心之大.
而且如果中了病毒的计算机属于高性能的服务器, 病毒还会在这台电脑当中植入 "挖矿" 程序, 让这台计算机成为生产比特币的工具, 攻击者可谓无所不用其极, 最大程度地榨取受害电脑的经济价值.
电脑中了这种病毒之后, 硬盘当中的文件会被 AES+RSA4096 位的算法加密.
遇到这种加密级别, 目前所有家用电脑如果要暴力破解可能需要几十万年. 所以一旦被这种病毒感染, 加密了自己电脑上的文件, 自己是无论如何没办法把文件解密的. 如果是政府或者公共机构的重要文件被加密, 那只能恢复备份文件.
值得注意的是, 这次的病毒袭击还针对了特定的人群, 类似 "精准投放". 大企业的公共邮箱, 高级餐厅的官网等等都是攻击的重点对象. 起初病毒会伪装成一封标题非常吸引人的电子邮件, 或者伪装成 PDF,DOC 这样的普通文档, 如果存在漏洞的电脑打开了这些链接或者文件, 就有可能中招.
如果中招的电脑处于一个局域网当中, 那么只要一台电脑感染病毒, 其他电脑只要开机上网, 马上也会被感染.
病毒会通过像 445 端口这样的文件共享和网络打印机共享端口的漏洞展开攻击.
该内容引用于: https://wenku.baidu.com/view/a064236f657d27284b73f242336c1eb91b373365.html?
二, 阿里云的防勒索解决方案
针对云上的服务器资产, 如果担心勒索病毒第一步可以从云安全中心入手. 针对一般的勒索病毒.
云安全中心具备:
[病毒检测] 定期扫描进程并监控进程启动事件, 通过云查杀机制检测恶意病毒和木马进程.
[病毒查杀] 支持在控制台一键中止进程和隔离恶意文件.
针对勒索病毒: WanaCry,CryptoLocker 等加密文件型勒索软件. 有比较良好的查杀效果. 并且检测 Linux,MysqlDB 等被勒索软件篡改登录界面, 留下邮箱或比特币钱包地址等情形.
使用云防火墙进一步进行边界防护与系统隔离.
互联网业务防护: 例如某金融用户除了 HTTP 业务外, 还有其他类型业务暴露在互联网上. 用户需要使用入侵检测模块 (IPS) 进行防护.
主动外联防护: 例如某政府行业用户, 除了关注从互联网到业务的防御, 也同时关注业务主动外联的分析, 以判断哪些主机已经处于风险状态, 并对这些异常行为进行实时阻断, 规避潜在的风险.
微隔离防护: 例如某电商客户, 虽然都是 HTTP 业务, 并采用了 web 应用防火墙进行防护, 但期望能对不同的业务间进行安全隔离, 增强整体的网络控制能力, 避免因为某个 ECS 安全风险而导致整个云上业务产生风险.
运用网站漏洞扫描提高纵深防御能力.
网站脆弱性风险评估
基于大数据信息情报积累, 提供自适应智能的检测规则, 实现全面的脆弱性风险评估. 包括: 网站上线前验收; 网站日常安全评估; 重大活动期间的网站安全评估.
黑客挂马篡改攻击监测
提供首页检测服务和网页内容检测服务, 帮助您实时检查您的首页是否具有被攻击, 挂马, 暗链, 垃圾广告等风险, 并在发现遭攻击风险后第一时间通知您.
阿里云防勒索解决方案链接: https://m.aliyun.com/markets/aliyun/anticrypto
三, 小结
勒索病毒重在防范, 一旦中招即便是缴纳赎金也不一定可以获取到密码. 通过事前防范能有效降低中招的概率, 减少可能的损失.
来源: https://yq.aliyun.com/articles/740764