存儲域
數據庫加密 諾亞防勒索訪問域
數據庫防水壩 數據庫防火墻 數據庫安全審計 動態(tài)脫敏流動域
靜態(tài)脫敏 數據水印 API審計 API防控 醫(yī)療防統方運維服務
數據庫運維服務 中間件運維服務 國產信創(chuàng)改造服務 駐場運維服務 供數服務安全咨詢服務
數據出境安全治理服務 數據安全能力評估認證服務 數據安全風險評估服務 數據安全治理咨詢服務 數據分類分級咨詢服務 個人信息風險評估服務 數據安全檢查服務美創(chuàng)第59號實驗室威脅平臺顯示,3月份國內遭受勒索病毒的攻擊中,廣東、江蘇、浙江三省遭受的勒索病毒攻擊最多,總體而言,數字經濟發(fā)達地區(qū)仍是勒索病毒攻擊的重點區(qū)域。 根據國內勒索病毒攻擊受害者所屬行業(yè)來看,教育、互聯網、醫(yī)療是3月份受影響最嚴重的三大類行業(yè)。 下圖是美創(chuàng)第59號實驗室對勒索病毒監(jiān)測后所計算出的3月份勒索病毒家族流行度占比分布圖。Phobos家族占比31%居首位,其次是占比16%的LockBit家族,TellYouThePass家族以10%位居第三,均為過往的流行家族。 勒索病毒傳播方式 下圖為勒索病毒傳播的各種方式的占比情況。根據統計可以看出,勒索病毒的主要攻擊方式依然以遠程桌面入侵為主,其次利用網站掛馬和高危漏洞等方式傳播,整體攻擊方式呈現多元化的特征。 Phobos勒索軟件從2019年開始在全球流行,并一直保持著很高的活躍度,并常年占據勒索病毒榜單前三,其不斷推出新變種,并頻繁通過RDP暴破、釣魚郵件等方式對企業(yè)單位及個人用戶進行攻擊,使受害者遭受數據財產的嚴重損失,影響十分惡劣。 LockBit勒索病毒出現于2019年末,并于2021年6月推出了LockBit 2.0版本。2.0版本引入了卷影復制和日志文件刪除等新功能,使受害者更難恢復。2022年6月,LockBit勒索病毒家族再次完成升級,并于2022年7月推出LockBit3.0正式版本。最新版的病毒主要在免殺方式又做了更進一步的加強,持續(xù)優(yōu)化了安全軟件的對抗能力。 Tellyouthepass勒索病毒出現于2020年7月,主要以集成各種漏洞利用工具來進行傳播,曾經利用過MS16-032內核提權、“永恒之藍”等漏洞,在2021年底Apache Log4j2組件漏洞曝光后,迅速集成了武器庫,發(fā)動了大批量的攻擊。 在線點評: 1.Phobos勒索病毒在運行過程中會進行自復制,并在注冊表添加自啟動項,如果沒有清除系統中殘留的病毒體,很可能會遭遇二次加密。 2.Phobos勒索病毒還會持續(xù)感染被新放入中毒機器的文件,故如果不幸感染了該病毒,請勿隨意使用存儲介質插入中毒機器中,否則存儲介質的文件將不可幸免地被加密。 江蘇某企業(yè)遭受TellYouThePass勒索病毒攻擊,此次攻擊事件導致多臺服務器遭到了破壞,多個服務受到影響。TellYouThePass勒索病毒一旦滲透成功,便會更改Windows注冊表、刪除卷影副本、打開/寫入/復制系統文件、生成后臺運行的進程、加載各種模塊等。該病毒發(fā)作時,后臺進程會掃描計算機,查找圖像、視頻、Office文檔和其他文件,然后對這些目標文件進行加密并將其擴展名更改為“._locked”,使得用戶無法再正常打開這些文件。 2.企業(yè)需要加強自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和遠程桌面的管理,以應對勒索病毒的威脅。 位于廣東省的某企業(yè)稱其遭到Mallox勒索病毒攻擊。在攻擊期間,勒索軟件操縱者設法獲得對內部域管理的控制權后,在服務器上安裝了Mallox勒索軟件,并留下了文件名為“FILE RECOVERY.txt”的贖金票據。
(一)隔離中招主機
(二)排查業(yè)務系統
在已經隔離被感染主機后,應對局域網內的其他機器進行排查,檢查核心業(yè)務系統是否受到影響,生產線是否受到影響,并檢查備份系統是否被加密等,以確定感染的范圍。
(三)聯系專業(yè)人員
面對嚴峻的勒索病毒威脅態(tài)勢,美創(chuàng)安全實驗室提醒廣大用戶,勒索病毒以防為主,注意日常防范措施,以盡可能免受勒索病毒感染:
① 及時給辦公終端和服務器打補丁,修復漏洞,包括操作系統以及第三方應用的補丁,防止攻擊者通過漏洞入侵系統。
② 盡量關閉不必要的端口,如139、445、3389等端口。如果不使用,可直接關閉高危端口,降低被漏洞攻擊的風險。
③ 不對外提供服務的設備不要暴露于公網之上,對外提供服務的系統,應保持較低權限。
④ 企業(yè)用戶應采用高強度且無規(guī)律的密碼來登錄辦公系統或服務器,要求包括數字、大小寫字母、符號,且長度至少為8位的密碼,并定期更換口令。
⑤ 數據備份保護,對關鍵數據和業(yè)務系統做備份,如離線備份,異地備份,云備份等, 避免因為數據丟失、被加密等造成業(yè)務停擺,甚至被迫向攻擊者妥協。
⑥ 敏感數據隔離,對敏感業(yè)務及其相關數據做好網絡隔離。避免雙重勒索病毒在入侵后輕易竊取到敏感數據,對公司業(yè)務和機密信息造成重大威脅。
⑦ 盡量關閉不必要的文件共享。
⑧ 提高安全運維人員職業(yè)素養(yǎng),定期進行木馬病毒查殺。
⑨ 部署美創(chuàng)數據庫防火墻,可專門針對RushQL數據庫勒索病毒進行防護。
⑩ 安裝諾亞防勒索軟件,防御未知勒索病毒。
為了更好地應對已知或未知勒索病毒的威脅,美創(chuàng)通過對大量勒索病毒的分析,基于零信任、守白知黑原則,創(chuàng)造性地研究出針對勒索病毒的終端產品【諾亞防勒索系統】。諾亞防勒索在不關心漏洞傳播方式的情況下,可防護任何已知或未知的勒索病毒。以下為諾亞防勒索針對勒索病毒的防護效果。
美創(chuàng)諾亞防勒索可通過服務端統一下發(fā)策略并更新。默認策略可保護office文檔【如想保護數據庫文件可通過添加策略一鍵保護】。
無諾亞防勒索防護的情況下:
在test目錄下,添加以下文件,若服務器中了勒索病毒,該文件被加密,增加統一的異常后綴,并且無法正常打開。
開啟諾亞防勒索的情況下:
雙擊執(zhí)行病毒文件,當勒索病毒嘗試加密被保護文件,即test目錄下的文件時,諾亞防勒索提出警告并攔截該行為。
查看系統上被測試的文件,可被正常打開,成功防護惡意軟件對被保護文件的加密行為。
開啟堡壘模式的情況下:
為保護系統全部文件,可一鍵開啟諾亞防勒索的堡壘模式。堡壘模式主要針對亞終端,例如ATM機,ATM機的終端基本不太會更新,那么堡壘模式提供一種機制:任何開啟堡壘模式之后再進入終端的可執(zhí)行文件都將被阻止運行,從而實現諾亞防勒索的最強防護模式。
運行在堡壘模式下,執(zhí)行該病毒,立刻被移除到隔離區(qū),因此可阻止任何已知或未知勒索病毒的執(zhí)行。
官方訂閱號
官方服務號
第59號
浙公網安備 33010502006954號 
