今天��,距離大魔王WannaCry風(fēng)波平息已過(guò)去兩年多的時(shí)間��,但安全仍未占據(jù)主動(dòng)���!如果你已經(jīng)開(kāi)始忘記勒索病毒曾經(jīng)秀過(guò)的肌肉,安華金和在此給予友情提醒:相關(guān)數(shù)據(jù)顯示�����,我國(guó)2018全年共監(jiān)測(cè)到超430萬(wàn)臺(tái)計(jì)算機(jī)遭受勒索病毒攻擊,平均每天約1.2萬(wàn)臺(tái)�。其中,企業(yè)成為勒索病毒最為熱衷的攻擊對(duì)象——在全球十大流行勒索病毒家族中,有九個(gè)都涉及企業(yè)攻擊��。
僅2019年上半年�,GlobeImposter、Scaletto��、GrandCrab�����、Gorgon����、Satan等一系列新面孔和升級(jí)、變種后的老對(duì)手先后登場(chǎng)�����,不斷運(yùn)用各種“加密數(shù)據(jù)”的方式刷新存在感�����,背后目的則大多只有一個(gè)——贖金���。勒索病毒攻擊能夠?qū)覍业檬?��,究其根源是利用了受害用?hù)對(duì)“丟失數(shù)據(jù)”的深深恐懼而寄希望于通過(guò)支付贖金“恢復(fù)數(shù)據(jù)”的想法�����。
然而�����,過(guò)往的經(jīng)驗(yàn)以及殘酷的事實(shí)不斷證明著��,即便交了贖金也很可能拿不回?cái)?shù)據(jù)——因?yàn)榇蠖鄶?shù)攻擊者為了減少攻擊時(shí)間�����,從一開(kāi)始便會(huì)直接將原始數(shù)據(jù)刪除���;即便原始數(shù)據(jù)未被刪除��,也可能受攻擊者“低質(zhì)量”的加密程序影響����,使得數(shù)據(jù)在解密后也無(wú)法復(fù)原和使用���。唯一能夠肯定的是��,交贖金會(huì)助長(zhǎng)不法分子的囂張氣焰����,以致勒索病毒攻擊變本加厲����、愈演愈烈。
二���、專(zhuān)業(yè)團(tuán)隊(duì) · 技高一籌
不久前����,安華金和接到客戶(hù)急電��,對(duì)方表示公司OA系統(tǒng)突發(fā)故障�、無(wú)法正常運(yùn)行,數(shù)據(jù)庫(kù)也無(wú)法打開(kāi)�,疑似感染勒索病毒;同時(shí)���,希望安華金和能夠提供人員���、技術(shù)支持��,盡快解決問(wèn)題���,以降低此次安全事件對(duì)其業(yè)務(wù)系統(tǒng)的影響,避免造成進(jìn)一步損失�����。
安華金和在接到客戶(hù)需求后的第一時(shí)間�����,安排數(shù)據(jù)安全專(zhuān)家在經(jīng)過(guò)授權(quán)許可后遠(yuǎn)程接入客戶(hù)網(wǎng)絡(luò)����。經(jīng)過(guò)問(wèn)題排查,安華金和發(fā)現(xiàn)在用戶(hù)使用的SQL Server2008R2數(shù)據(jù)庫(kù)服務(wù)器上含有如下圖中的提示信息����,大意為:你的工作和私人文件已被加密,不要嘗試自己恢復(fù)數(shù)據(jù)�����,那會(huì)讓你的數(shù)據(jù)被毀掉!只有(向我們)購(gòu)買(mǎi)特殊的密鑰才能夠解密...
檢查數(shù)據(jù)庫(kù)文件后發(fā)現(xiàn)確如“警告”所言——文件后綴已被修改為“.YOUR_LAST_CHANCE”(你最后的機(jī)會(huì))���。
根據(jù)病毒特征,安華金和判定用戶(hù)感染了文件型勒索病毒firex3m的變種�����,屬于操作系統(tǒng)層勒索病毒�����,其最大特征就是受感染文件在被惡意加密后�����,文件后綴會(huì)變?yōu)椤?YOUR_LAST_CHANCE”��。通常情況下�����,該病毒會(huì)在操作系統(tǒng)層對(duì)主機(jī)中的各類(lèi)數(shù)據(jù)文件進(jìn)行加密����,使用戶(hù)無(wú)法正常訪問(wèn)數(shù)據(jù)�����,繼而實(shí)施敲詐勒索���。
確認(rèn)敵情后,安華金和憑借豐富的數(shù)據(jù)安全經(jīng)驗(yàn)以及對(duì)勒索病毒的深入研究�,結(jié)合客戶(hù)實(shí)際情況,迅速制定了應(yīng)對(duì)策略:
1���、對(duì)受攻擊主機(jī)做物理隔離����,防止勒索病毒擴(kuò)散�;
2、對(duì)其它業(yè)務(wù)機(jī)器殺毒���,防止勒索病毒隱匿其中�����;
3�����、征得同意后提取小部分樣本數(shù)據(jù)用于病毒分析�����;
4���、分析勒索病毒的攻擊方式和加密方法;
5����、根據(jù)分析結(jié)果制定解密程序;
6����、在實(shí)驗(yàn)環(huán)境下驗(yàn)證解密效果;
7�、客戶(hù)認(rèn)可解密效果后,開(kāi)始正式解密數(shù)據(jù)�����。
通過(guò)上述方法�����,安華金和成功幫助用戶(hù)完全恢復(fù)了被勒索病毒加密的數(shù)據(jù),使其業(yè)務(wù)系統(tǒng)再次正常運(yùn)行�,從而粉碎了不法分子利用勒索病毒攻擊謀取不義之財(cái)?shù)谋氨善髨D,也用實(shí)力和結(jié)果證明——面對(duì)勒索病毒攻擊�����,用戶(hù)還有其他選擇和機(jī)會(huì)�����!
想要有效防范勒索病毒攻擊,應(yīng)加強(qiáng)對(duì)業(yè)務(wù)系統(tǒng)的日常安全防護(hù)工作�����,不斷提高自身抵御風(fēng)險(xiǎn)的能力�����,基本流程與建議如下:
1、及時(shí)更新軟件補(bǔ)丁
無(wú)論是操作系統(tǒng)��、數(shù)據(jù)庫(kù)還是前端應(yīng)用��,軟件廠商都會(huì)定期發(fā)布更新補(bǔ)丁���,從而修復(fù)已知的軟件漏洞�。因此�,及時(shí)進(jìn)行軟件升級(jí)是保證數(shù)據(jù)安全的基本手段。
2���、避免使用破解軟件
破解軟件、綠色軟件雖然“方便好用”�,卻也可能攜帶安全風(fēng)險(xiǎn)——部分勒索病毒就是通過(guò)破解軟件進(jìn)行傳播的。為了保證數(shù)據(jù)安全��,應(yīng)盡量避免使用此類(lèi)軟件����。
3、請(qǐng)勿點(diǎn)擊陌生郵件
勒索病毒常見(jiàn)的傳播途徑包括利用電子郵件�、網(wǎng)頁(yè)掛馬等方式。因此�,面對(duì)陌生郵件、陌生網(wǎng)址時(shí),如果不能確定其安全性�����,請(qǐng)勿隨意點(diǎn)擊���。
4���、建議關(guān)閉無(wú)用端口
諸如135、137��、138�����、139�����、445等端口常被勒索病毒利用��,以發(fā)起對(duì)業(yè)務(wù)系統(tǒng)的攻擊��;酌情將此類(lèi)端口關(guān)閉����,可減少業(yè)務(wù)系統(tǒng)潛在的安全隱患�。
5�����、制定安全應(yīng)急預(yù)案
事先制定詳細(xì)�����、具體的應(yīng)急安全預(yù)案�����,作為處理數(shù)據(jù)安全問(wèn)題的操作指南��,用以在勒索病毒攻擊發(fā)生時(shí)迅速采取應(yīng)對(duì)措施�����。
6���、定期數(shù)據(jù)安全演練
制定應(yīng)急安全預(yù)案后,還需定期進(jìn)行演練�,持續(xù)加強(qiáng)相關(guān)人員的數(shù)據(jù)安全意識(shí)并提升應(yīng)對(duì)能力�����,從而更好的保障業(yè)務(wù)系統(tǒng)安全���。
7、聯(lián)系數(shù)據(jù)安全專(zhuān)家
發(fā)現(xiàn)勒索病毒攻擊后切勿慌亂���,請(qǐng)及時(shí)聯(lián)系安華金和�����,我們將提供數(shù)據(jù)安全專(zhuān)業(yè)服務(wù)�����,協(xié)助客戶(hù)解密數(shù)據(jù)庫(kù)文件���,共同解決相關(guān)安全問(wèn)題。
向勒索病毒攻擊低頭絕不是最后的機(jī)會(huì)�,請(qǐng)做正確選擇!成立十年來(lái)����,安華金和始終專(zhuān)注數(shù)據(jù)安全領(lǐng)域��,致力為廣大用戶(hù)提供專(zhuān)業(yè)����、高效���、可靠的數(shù)據(jù)安全產(chǎn)品和服務(wù)�。隨著勒索病毒攻擊日益猖獗�����,安華金和將全力協(xié)助客戶(hù)構(gòu)建多層次���、立體化的數(shù)據(jù)安全防護(hù)體系���,避免用戶(hù)遭受數(shù)據(jù)資產(chǎn)及相關(guān)經(jīng)濟(jì)損失,讓數(shù)據(jù)使用更安全����。
產(chǎn)品咨詢(xún):4000 258 365 
