澜梦小贴士：如何防范勒索软件

由于勒索病毒没有典型的病毒特征，潜伏期长，对企业数据具有毁灭性的破坏力。 而且其具有低成本高收益的特点，因此勒索病毒的种类和传播范围逐年增加，抵御勒索病毒的工作成为企业数据安全保护工作中的众矢之的。

有两个针对服务器的勒索软件家族：Crysis 和 Globelmposter。 受感染和勒索软件的公司和文件的数量逐年增加。

要防止勒索软件，您必须首先了解并了解它的传播方式和工作原理。 我们以 Globelmposter 为例：

1、外部入侵

通过分析几次针对Windows服务器的勒索病毒攻击，发现这些攻击大多利用弱口令漏洞、系统漏洞等方式获取远程登录用户名和密码，然后通过RDP（Remote Desktop）远程登录目标服务器协议）来运行勒索软件。 一旦黑客能够成功登录到服务器，他们就可以在服务器上为所欲为。 这也意味着即使服务器上安装了安全软件，也有可能被黑客手动登出。

以某公司的服务器为例，从系统安全日志可以看出，服务器平均每隔几秒就会尝试通过RDP协议爆破。 一旦黑客能够成功登录到服务器，他们就可以在服务器上为所欲为。 这也意味着即使服务器上安装了安全软件服务器中了比特币勒索病毒，也有可能被黑客手动登出。

从系统安全日志可以看出，服务器平均每隔几秒就会尝试通过RDP协议爆破。

即使公司安全意识好，不直接将服务器暴露在公网，黑客虽然不能直接RDP爆破登录服务器，但还是有办法成功入侵的。 例如，有几台被勒索软件攻击的服务器并没有直接连接到外网。 黑客首先入侵了公司官网的web服务器，公司的web服务器与公司内网相连，这样黑客就可以通过web服务器对内网进行渗透，攻击内网上的各个服务器。

2.感染加密

GlobeImposter 加密过程

该勒索病毒采用RSA+AES加密方式，加密过程涉及两对RSA密钥（分别为黑客的公私钥和用户的公私钥，分别用hacker_rsa_xxx和user_rsa_xxx表示）和一个一对 AES 密钥。 黑客的RSA密钥用于加密用户的RSA密钥，用户的RSA密钥用于加密AES密钥，AES密钥用于加密文件内容。

具体加密过程如下：勒索病毒首先解码一个内置的RSA公钥（hacker_rsa_pub），同时使用RSA为每个受害用户生成公私钥（user_rsa_pub和user_rsa_pri），生成的密钥信息使用内置的RSA公钥Key（hacker_rsa_Public）加密后作为用户ID使用。 遍历系统文件时，对满足加密要求的文件进行加密。 对于每个文件，CoCreateGuid 都会生成一个唯一标识符，最后根据唯一标识符生成一个 AES 密钥（记为 file_aes_key）来加密文件。 在文件加密的过程中，唯一标识会用RSA公钥（user_rsa_pub）加密后保存在文件中。

黑客收到赎金、用户ID和文件后，用自己的私钥（hacker_rsa_pri）解密用户ID得到user_rsa_pri，用user_rsa_pri解密文件得到文件的file_aes_key，再通过AES算法。

通常，赎金是比特币等匿名数字货币。 即使支付了赎金，也不能保证黑客会提供解密文件的秘钥！ ！

三、预防方案

要及时、定期提醒企业用户：

1.不要点击来源不明的邮件附件。

2、及时打补丁，修复系统或第三方软件的安全漏洞。

3、尽量关闭不需要的端口，如：445、135、139等，可以为3389端口配置白名单，只允许白名单中的ip连接登录。

4.尽量关闭不必要的文件共享，必要时使用ACL和强密码保护来限制访问权限，并禁止对共享文件夹的匿名访问。

5、使用高强度密码，避免使用弱密码，定期修改密码。 服务器密码建议使用高强度且不规则的密码，并且强制每个服务器使用不同的密码管理。

6. 对不需要互联的服务器/工作站的内部访问设置相应的控制，避免被可以连接外网的服务器攻击后对其他服务器的进一步攻击。

7、定期对重要文件和数据（数据库等）进行异地备份。

8、在终端/服务器上部署专业的安全防护软件。 Web服务器可部署在阿里云、Azure、AWS等具有专业安全防护能力的云服务上。

文/夏立成，上海澜梦创始人兼CEO，复旦校友创新创业俱乐部副会长服务器中了比特币勒索病毒，致力于以IT外包网络维护服务赋能企业客户发展，助力企业客户创新、迭代、进化。返回搜狐看更多