这张专治勒索病毒的“处方”，拿来吧你！ – 作者:默安科技

第一话

嚣张的勒索病毒

勒索软件进入大量百姓视野的主要事件是2017年的WannaCry事件，全球近百个国家的金融、能源、医疗、教育等众多行业受到影响。尽管安全防御技术不断更新迭代，勒索病毒却愈演愈烈。越来越多勒索组织采用勒索即服务的“商业模式”，扩展下游用户，降低勒索软件使用和传播的门槛。

2021年7月中旬，据BleepingComputer报道，厄瓜多尔最大的网络运营商国家电信遭遇RansomEXX勒索软件攻击，业务陷入瘫痪；勒索团伙宣称已拿到190 GB数据，并分享了部分文档截图，包括联系人列表、合同及客户支持日志等信息。

2021年7月初，美国IT管理软件厂商Kaseya中招REvil勒索软件。REvil勒索组织利用零日漏洞攻击了Kaseya的远程监控与管理软件VSA。据称至少有1000家单位受到影响，例如瑞典知名连锁商店Coop的顾客无法付款，全国近800家门店被迫关闭。REvil勒索组织要求受害者支付8000万美元（约合人民币5.2亿元），赎金总额创历史新高。

第二话

和勒索病毒有关的数据

2021年，平均每11秒会发生一次勒索攻击

（Cybercrime Magazine, 2019）

最常见的勒索病毒攻击手段是邮件钓鱼、RDP漏洞和软件漏洞

（Cybersecurity & Infrastructure Security Agency, 2021）

2020年近50%的医疗数据泄露由勒索病毒造成

（Health and Human Services, 2021）

针对高校的勒索病毒攻击事件从2019年到2020年增长了100%

（BlueVoyant, 2021）

90%的金融机构是勒索病毒的感染目标

（PR Distribution, 2018）

2017年Q1，FedEx在NotPetya勒索病毒事件中损失约3亿美元

（Cyberscoop, 2021）

第三话

小默支招：如何防治？

在勒索病毒发生的事前、事中、事后阶段做好下面这些工作，面对再棘手的勒索病毒也能够从容应对。

事前预防-勒索病毒风险管控

很多网络安全风险的有效预防都离不开一项非常基础但易被忽略的工作——资产及资产暴露面的梳理。默安科技的哨兵云-资产风险监控系统与水滴-主机安全管理系统能够做到对IT资产指纹的自动化梳理，同时提供以下防范勒索软件的能力：

• 对资产中的漏洞和风险点执行周期巡检，重点关注勒索病毒可利用的弱点，并结合人工服务及时进行加固；

• 重点梳理和监控重要文件，设置严格的访问策略，防止无权限进程进行访问或篡改，一旦发现异常操作即作告警或阻断，防止勒索事件的发生与升级；

• 执行安全风险验证，判断应用、主机漏洞及未授权服务是否可利用、是否可获取权限等，提前发现勒索风险隐患，及时阻断勒索病毒进入、运行与传播的路径。

此外，水滴-主机安全管理系统还提供进程信任策略，即对需要重点保护的服务器开启进程信任策略，在一定周期内持续学习可信进程，形成进程白名单。白名单以外的进程作告警或在启动时自动阻断。进程白名单机制的一个显著优点是保证系统轻量、运行平稳，不干扰正常业务的运行。

事中重防-内网攻击诱捕与处置

事中阶段需要重点防御勒索病毒的传播感染，利用欺骗防御、恶意软件检测等技术，精准检测勒索病毒，并提供自动阻断、溯源定位等实时处置能力。欺骗防御技术能够很好地解决无法识别未知的勒索病毒变种的难题。

1

内网业务模拟仿真

通过模拟真实业务，构建各类沙箱集群，同时在沙箱中发布漏洞，降低攻击难度，一旦勒索病毒延伸至模拟沙箱，就会立即被感知。

2

内网东西向流量诱捕

默安科技的欺骗防御体系中包含中继节点模块，能够绑定不同VLAN中的空闲IP，低成本、高效地将幻阵蜜网区的沙箱覆盖到各个VLAN区域。一旦病毒横向扩散到这些空闲IP，中继节点即可对病毒流量进行感知诱捕，同时沙箱监测还可用于事件回溯。

3

主机层主动诱捕

水滴-主机安全管理系统也可在目标主机中放置诱饵文件进行威胁感知，只要诱饵文件被异常加密，即可判断为勒索攻击，恶意进程被自动阻断。

事后响应-病毒应急处置

勒索事件发生后，水滴-主机安全管理系统在发现已知病毒、重要文件异常操作、异常进程、诱饵加密等情况后会作实时告警或阻断，完成自动化响应。

此外，受害单位应立即建立应急处置团队和应急处置规范流程，对病毒事件进行抑制、根除和溯源等。默安科技能够提供高效的病毒应急处置服务，包括立即隔离受感染主机、排查核心业务/生产线/备份系统是否受感染等，帮助客户加固网络，并快速恢复业务。

第四话

勒索软件防治案例

在Globelmposter 3.0勒索病毒变种事件中，默安科技应急响应中心在病毒发现6小时内向全部用户下发应急响应方案，并协助更新病毒检测插件，帮助客户避免遭受新型勒索病毒的感染，高效服务得到了大量金融、运营商、政府、医院行业客户的点赞与认可。

来源：freebuf.com 2021-07-28 14:25:43 by: 默安科技