在众多的安全问题中,勒索病毒是一种极具传播性、破坏性的恶意攻击行为,且其能造成的损失难以估量。目前,勒索病毒逐渐演变为一条产业化黑产链,攻击者通过病毒向企业勒索高额赎金的安全事件已经层出不穷。所以对勒索病毒的保持一定的防范意识显得至关重要。

病毒表现

当中病毒后,系统中的绝大多数文件被加密算法修改,并添加一个特殊的后缀,受害者将无法再打开文件。 勒索病毒利用非对称加密算法和对称加密算法组合的形式来加密文件,必须拿到对应的解密私钥才能还原文件。 目前主流的勒索病毒无需C2服务器,在隔离网络也可完成文件加密。 在感染完成后通常桌面或目标文件夹通常会出现类似hta网页或txt文本文件,显示勒索病毒提示信息、解密联系方式以及赎金等等。

作用原理

勒索病毒往往是通过非对称加密算法或混合算法来劫持用户的文件。通常流程为攻击者先生成一组私钥A和公钥A;然后在目标电脑上随机生成私钥B和公钥B;接着用公钥B把目标电脑的文件进行加密,同时用公钥A加密私钥B;最后删除目标电脑B上的私钥B、公钥A以及正常数据,受害者不具备私钥无法自行解密。

传播方式

钓鱼邮件:伪造邮件诱骗点击; RDP入侵:弱口令等安全隐患导致服务器被登录; 漏洞传播:服务器中包含了其他高危漏洞从而被利用。

防范措施

用传播方式可知,良好的网络使用意识,及时修复安全漏洞能够有效的针对勒索病毒的入侵途径。 从当前勒索病毒事件的发生趋势来看,网络层面的病毒防护无法做到万全保障。新式样的勒索病毒不断出现,而面对未经披露的新病毒时,目前任何网络安全防护应用都难以完全防御。因此,企业所能做的就是保证数据安全,即做好灾备建设,良好的快照备份策略能够最大程度避免其带来的隐患和损失。