警惕勒索病毒,互联网时代的新型敲诈行为
老眼 2018-01-28 19:09:54
分 享


背景简介


维基百科显示,勒索类恶意程序最早被发现的是1989年的“艾滋病”木马,中招的电脑系统被锁住,并显示“您的软件许可已过期!”需要向PC Cyborg公司付费189美金才能继续使用。05和06年,勒索木马又在国外引起过一阵关注。而国内是在07年左右开始关注,勒索木马Redplus以及QiaoZhaz相继在国内用户中被发现。2013年下半年,勒索病毒已经广泛出现在我们的视野,一种叫做CryptoLocker的勒索病毒,以邮件附件形式进行传播,加密电脑上近百种格式的文件(包括电子表格、数据库、图片等),并向用户勒索价值数千甚至上万元的比特币。


值得一提的是,该病毒传播速度非常快,据统计,仅在最初的100天时间内,该勒索软件就感染了20万至25万个系统。从2015年年初到现在,勒索软件又开始大规模爆发。同时,CryptoLocker还出现了很多不同的变种,如CryptoWall、TeslaCrypt等等。


勒索软件的特征


1、主要通过邮件和钓鱼网站进行传播



2、难以清除


勒索软件病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析


3、被加密文件除了支付赎金,暂无其他解决办法


勒索软件除了给个人电脑中的文件进行高强度加密(据说需要大型计算机跑几十年才能破解的RSA2048和RSA4096),还会删除这些文件的备份。一旦中招,除了支付赎金外,暂无解决办法,FBI也建议如果数据非常重要且无其他备份,那就只好支付赎金了。


勒索病毒应对办法


NGAF防病毒特征库第一时间更新了数十万Locky病毒防御特征,此外,还可以使用NGAF6.7版本的防垃圾邮件功能自动封堵不良的邮件发送者,也可以在邮件附件过滤功能里面设置对诸如js等文件类型进行过滤设置,比如直接过滤掉,或者提示风险,有效防范Locky病毒文件通过邮件感染本地网络!深信服千里目实验室在对巨量Locky勒索样本分析与研究的基础上,编写了针对Locky勒索软件的专防工具,安装运行后可完美防御目前已知Locky勒索样本,帮您规避Locky的困扰,快快来试试吧!


下载链接:http://sec.sangfor.com.cn/events/59.html


前面提到了,如果中招,文件被加密,除了支付赎金就很难解密了(当然,据信服君家的安全专家说,有些是AES加密的,还是可以解密的,点击这里了解具体方法),所以主要以防御为主。此外,这种勒索软件变种不断,相关杀毒软件等防御手段并不能保证100%防御,所以建议小伙伴们提高警惕,做好防护措施。


信服君提供建议如下:


1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击;

2、尽量不要点击office宏运行提示,避免来自office组件的病毒感染;

3、需要的软件从正规(官网)途径下载,不要双击打开.js、.vbs等后缀名文件;

4、企业用户可使用深信服NGAF进行防御,升级最新特征库可拦截95%以上的勒索病毒;

5、个人用户升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;

6、定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复;

7、安装深信服千里目实验室开发的针对Locky勒索软件的专防工具


已经遭遇病毒肿么办?


1、使用金山毒霸、腾讯安全管家、安天杀毒软件等清除病毒源;

2、删除勒索信息及加密文件;

3、从备份文件或其他人那获取被加密文件的原件;

4、如数据实在非常重要,又没有其他备份,那只好按要求交赎金了;


但支付赎金需谨慎!!


第一,比特币购买不受法律保护,并且即使支付了比特币给勒索者,也不一定能够获取私钥进行解密;


第二,支付赎金会助长黑客扩散勒索病毒的行为,导致更多人受害。


原文地址


http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=15336


吐槽一下

游客

所有吐槽
  • 暂时还没有吐槽,赶紧来吐槽!