勒索軟件

勒索軟件又稱勒索病毒，是一種特殊的惡意軟件，又被歸類為“阻斷訪問式攻擊”（denial-of-access attack），與其他病毒最大的不同在于攻擊手法以及中毒方式。勒索軟件的攻擊方式是將受害者的電腦鎖起來或者系統(tǒng)性地加密受害者硬盤上的文件，以此來達到勒索的目的。勒索軟件一般通過木馬病毒的形式傳播。

勒索軟件的類型根據(jù)勒索軟件對受害者系統(tǒng)采取的措施，主要可以分為以下幾類：

綁架用戶數(shù)據(jù)：使用加密算法（如AES、RSA等）將用戶的文件進行加密，用戶在沒有秘鑰的情況下無法操作自己的文件。用戶可以訪問設(shè)備，但是對設(shè)備內(nèi)的數(shù)據(jù)無法操作。典型勒索軟件有：WannaCry、GlobeImposter、CryptoLocker，TeslaCrypt等

鎖定用戶設(shè)備：不加密用戶的文件，但是通過修改一些配置或者系統(tǒng)文件，使得用戶無法進入設(shè)備。典型勒索軟件有：NotPetya等

鎖定用戶設(shè)備和綁架數(shù)據(jù)：既加密用戶文件，又鎖住用戶設(shè)備。典型勒索軟件有：BadRabbit等

勒索軟件的入侵方式

如何防御勒索軟件

1、主機側(cè)防護：推薦通過組織級的IT基礎(chǔ)設(shè)施方案來統(tǒng)一設(shè)置主機并針對員工進行信息安全教育。主要的主機側(cè)防護措施包括但不限于：

開啟系統(tǒng)防火墻，利用防火墻阻止特定端口的連接，或者禁用特定端口

升級最新的殺毒軟件，或者部署專殺工具

更新補丁，修復(fù)勒索軟件所利用的含漏洞軟件

各項登錄、鑒權(quán)操作的用戶名、密碼復(fù)雜度要符合要求

設(shè)置帳戶鎖定策略

阻止宏自動運行，謹慎啟用宏

僅從指定位置下載軟件

不要打開來源不明郵件的附件和鏈接

定期做好異地備份

在Windows文件夾中設(shè)置顯示“文件擴展名”，可以更輕易地發(fā)現(xiàn)潛在的惡意文件

2、網(wǎng)絡(luò)側(cè)防護：設(shè)置以防火墻為基礎(chǔ)的多層安全防御體系，避免攻擊者突破一層防御之后長驅(qū)直入。針對勒索軟件在網(wǎng)絡(luò)側(cè)的防護，華為通過如下分層防御體系進行防護：

通過在防護墻上部署嚴格的安全策略，限制用戶對網(wǎng)絡(luò)和應(yīng)用的使用

通過IPS、AV、URL，發(fā)現(xiàn)和阻斷已知威脅

通過沙箱聯(lián)動，發(fā)現(xiàn)未知威脅

通過HiSecInsight、誘捕，避免橫向擴散

部署日志審計系統(tǒng)，用于調(diào)查取證和攻擊溯源

如何處置勒索軟件

常見的勒索軟件處置建議，相關(guān)措施包括但不局限于：隔離被勒索的設(shè)備、清除勒索軟件、解密、調(diào)查取證、重裝系統(tǒng)等。

編輯：jq