勒索病毒防范措施

“勒索病毒風靡全球，病毒肆虐，讓企業(yè)和單位，包括個人蒙受損失，讓大家聞風色變，俗話說：“兵來將擋水來土掩”，病毒雖然猖獗，但是大家平時做好安全防護措施，增加安全意識，不要輕易打開陌生的郵件，包括廣告內(nèi)容，及時更新系統(tǒng)和打系統(tǒng)漏洞補丁，還有使用移動存儲設(shè)備的時候，要升級病毒庫，查殺U盤。在使用移動存儲設(shè)備，先查殺，后使用原則，做好以下措施，感染勒索病毒或者其他變異病毒，概率會大大降低。大家養(yǎng)成良好的操作習慣。以下是防范勒索病毒措施；Windows客戶端和服務(wù)器端同樣適用。”

一、病毒定義：

勒索病毒，是一種新型電腦病毒，主要以郵件、程序木馬、網(wǎng)頁掛馬的形式進行傳播。該病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。

2017年12月13日，“勒索病毒”入選國家語言資源監(jiān)測與研究中心發(fā)布的“2017年度中國媒體十大新詞語”。

從2018年初到9月中旬，勒索病毒總計對超過200萬臺終端發(fā)起過攻擊，攻擊次數(shù)高達1700萬余次，且整體呈上升趨勢。

二、傳播途徑：

勒索病毒文件一旦進入本地，就會自動運行，同時刪除勒索軟件樣本，以躲避查殺和分析。接下來，勒索病毒利用本地的互聯(lián)網(wǎng)訪問權(quán)限連接至黑客的C&C服務(wù)器，進而上傳本機信息并下載加密私鑰與公鑰，利用私鑰和公鑰對文件進行加密。除了病毒開發(fā)者本人，其他人是幾乎不可能解密。加密完成后，還會修改壁紙，在桌面等明顯位置生成勒索提示文件，指導用戶去繳納贖金。且變種類型非常快，對常規(guī)的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主，對常規(guī)依靠特征檢測的安全產(chǎn)品是一個極大的挑戰(zhàn)。

通過漏洞發(fā)起的攻擊占攻擊總數(shù)的87.7%。由于win7、xp等老舊系統(tǒng)存在大量無法及時修復的漏洞，而政府、企業(yè)、學校、醫(yī)院等局域網(wǎng)機構(gòu)用戶使用較多的恰恰是win7、xp等老舊系統(tǒng)，因此也成為病毒攻擊的重災(zāi)區(qū)，病毒可以通過漏洞在局域網(wǎng)中無限傳播。相反，win10系統(tǒng)因為強制更新，幾乎不受漏洞攻擊的影響。

通過郵件與廣告推廣的攻擊分別為7.4%、3.9%。雖然這兩類傳播方式占比較少，但對于有收發(fā)郵件、網(wǎng)頁瀏覽需求的企業(yè)而言，依舊會受到威脅。

此外，對于某些特別依賴U盤、記錄儀辦公的局域網(wǎng)機構(gòu)用戶來說，外設(shè)則成為勒索病毒攻擊的特殊途徑。

三、攻擊對象：

勒索病毒一般分兩種攻擊對象，一部分針對企業(yè)用戶(如xtbl，wallet)，一部分針對所有用戶。

四、病毒規(guī)律：

該類型病毒的目標性強，主要以郵件為傳播方式。

勒索病毒文件一旦被用戶點擊打開，會利用連接至黑客的C&C服務(wù)器，進而上傳本機信息并下載加密公鑰和私鑰。然后，將加密公鑰私鑰寫入到注冊表中，遍歷本地所有磁盤中的Office 文檔、圖片等文件，對這些文件進行格式篡改和加密;加密完成后，還會在桌面等明顯位置生成勒索提示文件，指導用戶去繳納贖金。

該類型病毒可以導致重要文件無法讀取，關(guān)鍵數(shù)據(jù)被損壞，給用戶的正常工作帶來了極為嚴重的影響。

五、病毒分析

一般勒索病毒，運行流程復雜，且針對關(guān)鍵數(shù)據(jù)以加密函數(shù)的方式進行隱藏。以下為APT沙箱分析到樣本載體的關(guān)鍵行為。

1、調(diào)用加密算法庫。

2、通過腳本文件進行Http請求。

3、通過腳本文件下載文件。

4、讀取遠程服務(wù)器文件。

5、通過wscript執(zhí)行文件。

6、收集計算機信息。

7、遍歷文件。

六、病毒防御

1：關(guān)閉服務(wù)進程（杜絕445端口）

開始菜單-》控制面板-》管理工具-》服務(wù)-》Server,點擊禁止，然后啟動類型選擇禁用。

2：注冊表關(guān)閉勒索病毒服務(wù)

開始菜單-》運行-》REGEDIT

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters新建DWORD鍵值，數(shù)值數(shù)據(jù)填寫為0，基數(shù)選擇十六進制，確定即可。

3：開啟防火墻，防微杜漸過濾危險端口

開始菜單-》控制面板-》管理工具-》高級安全Windows Defender防火墻-》入站規(guī)則-》-》新建規(guī)則-》端口-》TCP-》特定本地端口-》阻止連接-》（域和專用還有公用）-》下一步-》名稱和描述（比如135 & 135端口過濾阻止），其他端口過濾同上方法。

4：組策略安全設(shè)置ip安全策略

開始菜單-》運行-》gpedit.msc,打開本地組策略編輯器。依次展開“計算機配置---windows設(shè)置---安全設(shè)置---ip安全策略，在本地計算機”

以關(guān)閉139端口為例（其他端口操作相同）：

在本地組策略編輯器右邊空白處 右鍵單擊鼠標，選擇“創(chuàng)建IP安全策略”，彈出IP安全策略向?qū)υ捒?，單擊下一步；在出現(xiàn)的對話框中的名稱處寫“關(guān)閉端口”（可隨意填寫），點擊下一步；對話框中的“激活默認響應(yīng)規(guī)則”選項不要勾選，然后單擊下一步；勾選“編輯屬性”，單擊完成。在出現(xiàn)的“關(guān)閉端口 屬性”對話框中，選擇“規(guī)則”選項卡，去掉“使用添加向?qū)А鼻斑叺墓春?，單擊“添加”按鈕。在出現(xiàn)的“關(guān)閉端口 屬性”對話框中，選擇“規(guī)則”選項卡，去掉“使用 添加向?qū)А鼻斑叺墓春螅瑔螕簟疤砑印卑粹o。出現(xiàn)添加對話框，名稱出填“封端口”（可隨意填寫），去掉“使用添加向?qū)А鼻斑叺墓春螅瑔螕粲疫叺摹疤砑印卑粹o. 在出現(xiàn)的“IP篩選器屬性”對話框中，選擇“地址”選項卡，“源地址”選擇“任何”，“目標地址”選擇“我的IP地址”；

選擇“協(xié)議”選項卡，各項設(shè)置如圖片中所示。設(shè)置好后點擊“確定”。 返回到“ip篩選器列表”，點擊“確定”。返回到“新規(guī)則 屬性”對話框

在ip篩選器列表中選擇剛才添加的“封端口”，然后選擇“篩選器操作”選項卡，，去掉“使用 添加向?qū)А鼻懊娴墓?，單擊“添加”按鈕

在“篩選器操作 屬性”中，選擇“安全方法”選項卡，選擇“阻止”選項；在“常規(guī)”選項卡中，對該操作命名，點確定.

選中剛才新建的“新建1”，單擊關(guān)閉，返回到“關(guān)閉端口屬性“對話框，確認“IP安全規(guī)則”中 封端口 規(guī)則被選中后，單擊 確定。

在組策略編輯器中，可以看到剛才新建的“關(guān)閉端口”規(guī)則，選中它并單擊鼠標右鍵，選擇“分配”選項，使該規(guī)則開始應(yīng)用！

到此，大功告成，同樣的方法你可以添加對任何你想限制訪問的端口的規(guī)則。

“綜上所述：增加個人網(wǎng)絡(luò)安全意識，養(yǎng)成良好的上網(wǎng)習慣和日常操作習慣，安裝殺毒軟件和防火墻，升級病毒庫，定期全盤殺毒，及時打系統(tǒng)漏洞補丁。定時做好數(shù)據(jù)備份，把重要數(shù)據(jù)加密轉(zhuǎn)移到安全的存儲介質(zhì)上，比如云盤和移動硬盤。不要安裝過多的應(yīng)用軟件，不要輕易打開陌生的電子郵件，不要點擊陌生人給你發(fā)送的鏈接地址，不要訪問不知名的網(wǎng)站，不要點擊廣告內(nèi)容，使用移動存儲設(shè)備，先查殺，后使用。”

本文轉(zhuǎn)載自：https://www.freebuf.com/column/195992.html