勒索軟體
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
勒索軟體是黑客用來劫持用戶資產或資源實施勒索的一種惡意程式。黑客利用勒索軟體,通過加密用戶數據、更改配置等方式,使用戶資產或資源無法正常使用,並以此為條件要求用戶支付費用以獲得解密密碼或者恢復系統正常運行。 [1]
勒索軟體的勒索方式[1]
- 文件加密勒索
- 鎖屏勒索
- 系統鎖定勒索
- 數據泄漏勒索
勒索軟體的傳播方式[1]
勒索軟體防範措施[1]
- 防範勒索軟體“九要”
01要做好資產梳理與分級分類管理
清點和梳理組織內的信息系統和應用程式,建立完整的資產清單;梳理通信數據在不同信息系統或設備間的流動方向,摸清攻擊者橫向移動可能路徑;識別內部系統與外部第三方系統間的連接關係,尤其是與合作伙伴共用控制的區域,降低勒索軟體從第三方系統進入的風險;對信息系統、數據進行分級分類,識別關鍵業務和關鍵系統,識別關鍵業務和關鍵系統間的依賴關係,確定應急響應的優先順序。
02要備份重要數據和系統
重要的文件、數據和業務系統要定期進行備份,並採取隔離措施,嚴格限制對備份設備和備份數據的訪問許可權,防止勒索軟體橫移對備份數據進行加密。
03要設置複雜密碼並保密
使用高強度且無規律的登錄密碼,要求包括數,字、大小寫字母、符號,且長度至少為8位的密碼,並經常更換密碼;對於同一區域網內的設備杜絕使用同一密碼,杜絕密碼與設備信息(例如IP、設備名)具有強關聯性。
04要定期安全風險評估
定期開展風險評估與滲透測試,識別並記錄資產脆弱性,確定信息系統攻擊面,及時修複系統存在的安全漏洞。
05要常殺毒、關埠
安裝殺毒軟體並定期更新病毒庫,定期全盤殺毒;關閉不必要的服務和埠,包括不必要的遠程訪問服務(3389埠、22埠),以及不必要的135、139、445等區域網共用埠等。
06要做好身份驗證和許可權管理
加強訪問憑證頒發、管理、驗證、撤銷和審計,防止勒索軟體非法獲取和使用訪問憑證,建議使用雙因數身份認證;細化許可權管理,遵守最小特權原則和職責分離原則,合理配置訪問許可權和授權,儘量使用標準用戶而非管理員許可權用戶。
07要嚴格訪問控制策略
加強網路隔離,使用網路分段、網路劃分等技術實現不同信息設備間的網路隔離,禁止或限制網路內機器之間不必要的訪問通道;嚴格遠程訪問管理,限制對重要數據或系統的訪問,如無必要關閉所有遠程管理埠,若必須開放遠程管理埠,使用白名單策略結合防火牆、身份驗證、行為審計等訪問控制技術細化訪問授權範圍,定期梳理訪問控制策略。
08要提高人員安全意識
為組織內人員和合作伙伴提供網路安全意識教育;教育開發人員開發和測試環境要與生產環境分開,防止勒索軟體從開發和測試系統傳播到生產系統。
09要制定應急響應預案
針對重要信息系統,制定勒索軟體應急響應預案,明確應急人員與職責,制定信息系統應急和恢復方案,並定期開展演練;制定事件響應流程,必要時請專業安全公司協助,分析清楚攻擊入侵途徑,並及時加固堵塞漏洞。
- 防範勒索軟體“四不要”
01不要點擊來源不明郵件
勒索軟體攻擊者常常利用受害者關註的熱點問題發送釣魚郵件,甚至還會利用攻陷的受害者單位組織或熟人郵箱發送釣魚郵件,不要點擊此類郵件正文中的鏈接或附件內容。如果收到了單位組織內或熟人的可疑郵件,可直接撥打電話向其核實。
02不要打開來源不可靠網站
不瀏覽色情、賭博等不良信息網站,此類網站經常被勒索軟體攻擊者發起掛馬、釣魚等攻擊。
03不要安裝來源不明軟體
不要從不明網站下載安裝軟體,不要安裝陌生人發送的軟體,警惕勒索軟體偽裝為正常軟體的更新升級。
04不要插拔來歷不明的存儲介質
不要隨意將來歷不明的U盤、移動硬碟、快閃記憶體卡等移動存儲設備插入機器。
- 隔離網路
採用拔掉網線或者禁用網路等方式切斷受感染機器的網路連接,避免網路內其他機器被進一步感染滲透。
- 分類處置
當發現機器。上重要文件尚未被加密時,應立即終止勒索軟體進程或者關閉機器,及時止損;當發現機器上重要文件已被全部加密時,可保持機器開機原狀態,等待專業處置。
- 及時報告
及時報告網路管理員,通知其他可能會受到勒索軟體影響的人員。造成重大影響時,及時向網路安全主管部門門報告。
- 排查加固
立即視情況切斷網路內機器間不必要的網路連接,修改網路內機器的弱口令密碼。全面排查勒索軟體植入途徑,並及時堵塞漏洞。儘快對網路內機器進行全面漏洞掃描與安全加固。
- 專業恢復
請專業公司和人員進行數據和系統恢復工作。
- 2021年5月26日,國內某大型地產公司遭REvil勒索軟體攻擊,竊取並加密了約3TB的數據。
