勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
勒索病毒
传播方式服务器入侵传播:攻击者通过系统或软件漏洞等方法入侵服务器,或通过RDP弱密码暴力破解远程登录服务器
利用漏洞自动传播:利用系统自身漏洞进行扩散传播
软件供应链攻击传播:在合法软件正常升级过程中,利用软件供应商的漏洞,对合法软件进行劫持和篡改
邮件附件传播:在邮件的附件中夹带含有恶意代码的脚本文件
利用挂马网页传播:中招用户多为没有安装杀毒软件
防御方法文档自动备份隔离
智能诱捕:智能诱捕技术是捕获勒索病毒的利器,具体方法是:防护软件在计算机系统的各处设置陷阱文件;当有病毒试图加密文件时,就会首先命中设置的陷阱,而暴露其攻击行为。
行为追踪技术:对程序行为的多维度智能分析,安全软件可以对可疑的文件操作进行备份或内容检测,一旦发现恶意修改,就立即阻断并恢复文件内容
智能文件格式分析技术
数据流分析技术:基于机器学习的方法,我们可以在计算机内部的数据流层面,分析出勒索病毒对文档的读/写操作与正常使用文档情况下的读/写操作的区别,这些区别可以用于识别勒索病毒的攻击行为,从而捕获和过滤勒索病毒
如何处置1、隔离被感染的服务器/主机
物理隔离:断网断电,关闭无线网络、蓝牙连接,禁用网卡和外部存储设备
访问控制
2、排查业务系统
3、确定勒索病毒种类,溯源分析
4、恢复数据和业务
错误处置方式
1:使用移动存储设备
2:读写“中招”服务器/主机中的磁盘文件
作者:产品修炼日志