勒索病毒(Ransomware)与其他病毒最大的不同在于感染手法及中毒的方式。它利用计算机的一些功能给系统上了一把“锁“,或者对磁盘上的文件进行加密,从而对信息的系统的可用性造成巨大影响。然而,不同于其他的破坏性病毒,勒索病毒要求受害者缴纳赎金来恢复系统。
勒索病毒在传播和感染方面与一般的计算机病毒没有任何区别,主要从以下几个方向去感染目标计算机系统。
勒索病毒感染目标计算机系统的五个方向
1. 系统漏洞
与早期冲击波病毒利用了Windows RPC/DCOM漏洞攻击了世界范围内绝大多数的Windows系统类似,Wannacry勒索病毒利用了永恒之蓝(MS17-010)在全球范围内迅速传播。
2. 应用漏洞
病毒借用公开的利用程序对存在漏洞的应用系统攻击,将自身的恶意代码运行在操作系统,例如Weblogic反序列化漏洞、Struts2表达式注入漏洞。另一类需要人工或者自动化的工具挖掘未公开的漏洞来攻击应用系统,运行病毒程序。
3. 口令、令牌管理不当,应用配置不当等
例如,如果系统管理员账号的口令强度太弱,攻击者就可以使用自动化工具暴力猜测密码,进而通过开放的RDP服务(远程桌面服务)直接管理服务器,注入恶意程序。
4. 社会工程学
利用人的弱点、习惯,结合各类工具漏洞、技术手段诱使受害者泄露某些机密或者运行某些恶意程序。
无论是基于“锁”还是基于加密的勒索病毒,它所利用的技术和机制均是出于安全目的设计的,在不知晓密钥/密码信息的前提去破译其中的内容,均存在一定的技术和时间成本。除非攻击者愿意提供相应的敏感信息,被勒索病毒所绑架的数据基本上无法进行恢复,从而造成严重的数据丢失。在缺少备份文件的情况,它会导致整个系统完全瘫痪甚至报废。
5. 勒索病毒对企业数据安全的冲击
随着信息技术的进步,企业在运营过程中对ERP、CRM、OA等智能办公系统的核心数据的依赖性越来越高。所谓“三分技术、七分管理、十二分数据”,充分说明了数据在信息化系统中的核心地位和作用。然而,肆意的勒索病毒成为企业数据安全的噩梦。
2017年,美国医药巨头默克集团(Merck)遭受严重的勒索病毒攻击,在销售方面造成的损失超过1.35亿美元,而其他损失超过1.75亿美元,总计直接损失3.1亿美元。全球最大的船运公司马士基集团(Maersk)遭受NonPetya勒索病毒攻击,造成超过4000台业务服务器、45000台业务终端被恶意加密勒索,迫使业务一度暂停,造成超过3亿美元直接损失。与此同时,全球最大的快递运输公司联邦快递(Fedex)也遭受同类勒索病毒攻击,造成累计3亿美元的直接损失。除此之外,乌克兰航空、利洁时集团、美国印第安纳州州立医院等大量企业均遭受勒索病毒侵害,造成不同程度经济、业务损失。
放眼国内,随着去年WannaCry病毒爆发,勒索病毒逐步开始被人们所熟知,但是在面临严重的企业数据安全挑战的时候大家仍然无动于衷,导致遭受攻击后追悔莫及。国内诸多企事业单位、上市公司、大中型民营企业均遭受严重的勒索病毒攻击,且相应案例仍在持续上升,损失也越来越大。我们通过大量勒索病毒攻击事件应急响应处置后,总结出如下几点最容易感染勒索病毒的安全隐患:
- 业务便利,内部办公系统安全措施不到位情况下直接对外开放;
- 运维方便,将内部系统的控制服务、数据库管理端口对外开放;
- 操作系统管理、数据库管理、应用服务、业务系统存在弱口令;
- 操作系统及应用长期不更新,不打补丁,不装杀毒软件;
- 办公网络与服务器处在同网段,无任何隔离措施;
- 敏感服务器无任何安全防护系统;
- 无数据备份措施或同机备份;
- 服务器上U盘等介质乱插;
- 无专职网络管理员。
勒索病毒趋势
勒索病毒自最早在1989年发现的AIDS木马病毒已经逐步演变成大量可自我复制、主动提权、内网传播等高级功能的病毒,尤其2012年后,相应的变种数量逐年增加,逐步形成巨大黑色产业链。安恒信息研究院研究员通过大量统计分析发现,大量样本均利用了较近爆发的Windows系统严重安全漏洞,能够自动感染、传播,对服务器、工作终端均有严重危害。
专业测评机构根据近几年全球勒索病毒对企业数据影响造成的损失测算,2019年全球因勒索病毒损失将达到115亿美元,这个数字相当于一个中等发达水平国家全年GDP,损失之大,碾压其他计算机病毒。企业信息化作为企业可持续性发展的基本条件,其重要的涉及生产制造、研发创新、营销市场、财务人力、采购审计等CRM、ERP、OA等办公系统都将是众矢之的,一旦感染,损失会非常惨重。
勒索病毒防范措施与应急处置
首先要做的是事前的防护和预警,在勒索病毒发作之时,一切为时已晚。可以从以下几个方面进行勒索病毒安全防范:
1. 应用程序方面
进行数据备份时,至少应该做到异机备份,避免服务器在遭受攻击后系统完全瘫痪无法恢复。最好能有多个备份,包括热备注、灾备等。
- 定期关注相关应用程序厂商的公告和漏洞提醒,在测试后及时更新,避免攻击者通过Xday漏洞攻击服务器。
- 定期对应用程序进行渗透测试等,确保应用程序的安全性。如果是第三方软件,可以延长测试周期。
- 对应用程序内的口令进行管理,同时做好应用程序审计信息的保存。
2. 操作系统方面
- 对操作系统进行加固检查。
- 及时更新关键操作系统补丁。
- 定期使用漏洞扫描工具对操作系统进行检测,发现潜在的已知或未知漏洞
- 保存相关审计数据
- 安装终端防护软件
- 网络安全解决方案
- 部署防火墙、应用防火墙、入侵防护系统(IPS)等专用的安全设备,如果有条件可以追加部署其他安全设备和审计设备,例如数据库审计设备、日志审计设备等。
3. 管理的角度
组织安全意识和应急响应的相关培训,提高个人安全意识。有条件的话,对内部操作进行记录以方便审计。
安全不是绝对的,百密总有一疏。如果真的被勒索病毒绑架,我们就需要尽可能地减少损失。
首先是将受影响的服务器从网络上下线,避免病毒进一步扩散,控制影响范围和损失。立即联系安全厂商和专业人员进行处理。
如果是处于勒索病毒发作的初期(未能加密完系统所有的数据),可以通过中断勒索病毒程序来减少损失,比较直接简单的方式是断电。尽管这不可避免会产生一些额外的数据丢失风险(缓存、内存中的数据),但是基本上可以防止勒索病毒进一步加密系统文件,破坏整个系统。之后使用PE工具读取磁盘、备份所有数据并尝试恢复。另一种方式是利用一些安全工具临时删除运行中勒索病毒,对数据进行紧急备份,后期可以分析提取出其中有价值的数据,但是有可能会造成操作系统死机等其他情况。
如果勒索病毒已经运行了一段时间,完成了加密加锁,这种情况下需要保存备份进一步分析确认病毒的加密方式、是否存在未被加密的有效数据、是否能够恢复等。
在尝试还原被勒索病毒绑架的数据之前,还需要尽可能的确认攻击者的攻击路径,避免上线的热备份服务器在短时间再次遭受攻击。