<address id="n1rrn"><pre id="n1rrn"><ruby id="n1rrn"></ruby></pre></address>

           

          “假勒索”?真攻擊! 一文支招教你如何判斷是否感染勒索病毒及應急響應

          2022-08-12 09:12:08來源:深圳融安網絡科技有限公司

          8月11日晚間,就“美的受黑客攻擊并被勒索千萬美元”的傳聞,美的集團在微博上發文回應稱:“2022年8月11日,美的集團遭受新型網絡病毒攻擊,少數員工電腦受到感染,公司各業務系統未受影響,經營正常進行,也沒有收到勒索信息?!辈贿^,事發當晚,在招聘軟件上卻發現美的連夜“高薪”招聘信息安全技術專家,仍引發了網上不少議論猜測的聲音。

          截圖來源:美的集團官方微博

          近年來,勒索病毒肆虐全球,影響波及了眾多行業和機構,全球各地的關鍵基礎設施正面臨著前所未有的嚴峻考驗,工廠停擺、數據泄露等等事故的發展甚至影響著國家的正常運作,已經成為最受關注的網絡安全問題之一。2022年上半年發生的影響或損失重大的勒索事件,如2月23日,英偉達(Nvidia)遭Lapsus$組織攻擊,涉及1TB機密數據泄露;3月1日,豐田汽車供應商遭勒索攻擊,14家本土工廠暫時關閉,28條生產線停工一天等事件發生。


          判斷是否感染勒索病毒的幾大特征?


          眾所周知,勒索病毒的主要目的是為了勒索,那么黑客在植入病毒完成加密后,必然會提示受害者您的文件已經被加密了無法再打開,對受害者實施勒索,從中非法謀取私利,唯有支付贖金才能恢復文件。所以,勒索病毒區別于其他一般病毒有明顯的特征。因此,可以通過以下特征來判斷是否感染勒索病毒。


          1、電腦桌面出現勒索信息文件


          主機被感染勒索病毒后,最明顯的特征是電腦桌面發生明顯變化,即:桌面通常會出現新的文本文件或網頁文件,這些文件用來說明如何解密的信息,同時桌面上顯示勒索提示信息及解密聯系方式。

          2、文件后綴被篡改


          主機感染勒索病毒后,另外一個典型特征是:辦公文檔、照片、視頻等文件的圖標變為不可打開形式,或者文件后綴名被篡改。一般來說,文件后綴名會被改成勒索病毒家族的名稱或其家族代表標志,如:GlobeImposter家族的后綴為.dream、.TRUE、.CHAK等;Satan家族的后綴.satan、sicck;Crysis家族的后綴有.ARROW、.arena等。


          3、業務系統無法訪問


          2018年以來,勒索病毒的攻擊不再局限于加密核心業務文件;轉而對企業的主機和業務系統進行攻擊,感染企業的關鍵系統,破壞企業的日常運營;甚至還延伸至生產線——生產線不可避免地存在一些遺留系統和各種硬件難以升級打補丁等原因,一旦遭到勒索攻擊的直接后果就是生產線停產。


          感染勒索后的截圖:


          解密后的截圖:


          那么,勒索病毒來襲,如何做好應急響應?


          面對愈演愈烈的勒索病毒,我們應該如何應對?雖然無法完全杜絕勒索病毒,但我們可以做好有效的安全防范措施,及時發現并阻斷威脅,定期做好數據備份,保護數據資產安全。


          第一、斷網隔離


          當確認已被感染勒索病毒后,應立即隔離被感染主機,隔離主要包括物理隔離和訪問控制兩種手段。


          物理隔離主要常用操作方法為斷網和關機,防止勒索病毒在內網進一步傳播感染,避免組織造成二次損失最直接的方式,待應急結束,加固完成后,再放通網絡。


          訪問控制就是進一步關閉445、139、135等不必要的端口,尤其RDP端口,并在網絡側使用安全設備進一步隔離,如防火墻、終端安全衛士等設備,設置IP白名單規則,配置高級安全Windows防火墻,設置遠程桌面連接的入站規則,將使用的IP地址或IP地址范圍加入規則中,阻止規則外IP進行暴力破解;


          第二、安全排查業務系統


          使用病毒查殺工具進行病毒全盤掃描,找到病毒文件進行隔離查殺處置。如主機核心系統文件被加密,則進行系統重裝;


          開啟關鍵日志收集功能(安全日志、系統日志、PowerShell日志、IIS日志、錯誤日志、訪問日志、傳輸日志和Cookie日志),為安全事件的追蹤溯源提供基礎;


          部署入侵檢測系統(IDS):部署流量監控類軟件或設備,便于對勒索軟件的發現與追蹤溯源。融安網絡檢測系統以網絡流量為檢測分析對象,能精準檢測出已知海量惡意代碼和網絡攻擊活動,有效發現網絡可疑行為、資產和各類未知威脅。


          第三、加固防范


          及時對操作系統、設備、以及軟件進行打補丁和更新,對系統進行滲透測試及安全加固;建立安全災備預案,確保備份業務系統可以快速啟用。


          第四、聯系技術人員或者安全從業者


          在應急自救處置后,建議第一時間聯系專業的技術人士或者安全從業者,對事件的感染時間、傳播方式、感染家族等問題進行排查。融安網絡安全服務團隊可提供7*24小時安全值守、應急響應和安全服務支撐保障工作,為客戶的業務保駕護航。

          分享:

          微博
          微信公眾號
          cao死你狠狠cao弄

                <address id="n1rrn"><pre id="n1rrn"><ruby id="n1rrn"></ruby></pre></address>