什么是勒索病毒?
勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。一旦遭受勒索病毒攻击,将会使绝大多数的关键文件被加密。被加密的关键文件均无法通过技术手段解密,用户将无法读取资产中的文件,仅能通过向黑客缴纳高昂的赎金,换取对应的解密私钥才能将被加密的文件无损的还原。黑客通常要求通过数字货币支付赎金,一般无法溯源。
如果关键文件被加密,企业业务将受到严重影响;黑客索要高额赎金,也会带来直接的经济损失,因此,勒索病毒的入侵危害巨大。不过现在也可以通过专业的解密机构对数据进行解密,但是解密的费用也是很贵的,为了防患未然,防止被勒索,可以提前做好防护,减少损失和不必要的麻烦。
2022年勒索病毒的现状
此数据引用SOPHOS安全公司的调查研究,对31个国家中的中等规模组织的公司的5600名IT专业人员进行了一项独立的调查。
去年66%的组织受到勒索软件的攻击,比前一年增加了78%,65%的攻击导致数据被加密。
99%的攻击者拿到了客户的一些数据,调查发现大部分用于恢复加密数据的方法是备份,46%的公司支付赎金来取回数据,平均只有61%的加密数据支付赎金后被恢复,只有4%的人付了赎金才取回所有数据。
勒索软件对公司的业务的影响,90%的勒索软件攻击影响了他们的核心业务,86%的勒索软件攻击造成业务/收入损失。所以只有备份不是唯一的解决办法,要结合主机安全+备份+防篡改+专用的防勒索软件等一套防护才能真正防御。
防御勒索病毒最佳实践
工作原理
防勒索病毒是一个长期而持久的过程,华为云HSS事前(安全加固)、事中(主动防御+SOPHOS-XDR防病毒勒索软件)、事后(备份恢复)三部曲,为您抵挡勒索病毒入侵,营造主机资产安全运行环境。
XDR(Extended detection and response)扩展检测和响应,主要针对计算机实时访问的internet扫描还有文件,以及勒索病毒专用防护,有很强劲的功能。
事前:安全加固安装HSS软件,云上和线下物理机器都可以安装。
配置安全基线
HSS每日凌晨自动检测系统中关键软件的配置风险并给出详细的加固方法。您可以根据给出的加固建议,正确处理主机内的各种风险配置信息。
HSS支持检测的软件类型:Tomcat、SSH、Nginx、Redis、Apache 2、MySQL 5。
-
在页面左上角选择“区域”,单击
,选择“安全与合规 > 企业主机安全”,进入企业主机安全平台界面。
-
在界面左上角单击“体验新版”,进入云工作负载保护平台(主机安全+容器安全)页面。
-
选择“风险预防 > 基线检查 > 配置检查”页签,查看配置检查详情。
图1 进入配置检查页面
单击基线名称,进入基线检查详情页面,单击目标检查项“操作”列的“检测详情”,您可以根据“审计描述”验证检测结果,根据“修改建议”处理主机中的异常信息,从而加固配置基线。
图2 查看检查详情
-
完成配置项的修复后,建议您立即执行手动检测,查看配置项修复结果。如果您未进行手动验证,HSS会在次日凌晨执行自动验证。自动验证完成后,您可查看配置项修复结果。
加固弱密码
HSS每日凌晨自动检测主机中使用的经典弱口令和您添加的自定义弱口令。您可以根据检测出的弱口令对应的弹性云服务器名称、账号名、账号类型和弱口令使用时长,加固弱密码。
HSS支持检测MySQL、FTP及系统账号的弱口令。
1.在页面左上角选择“区域”,单击
,选择“安全与合规 > 企业主机安全”,进入企业主机安全平台界面。
2.在界面左上角单击“体验新版”,进入云工作负载保护平台(主机安全+容器安全)页面。
3.选择“风险预防 > 基线检查 > 配置检查”页签,查看经典弱口令检测。
图3 进入经典弱口令检测页
4.自定义弱口令。进入“策略管理”页面,配置指定策略组的“弱口令检测”,添加自定义弱口令。
图4 自定义弱口令
5.完成弱密码加固后,建议您立即执行手动检测,查看弱密码加固结果。
如果您未进行手动验证,HSS会在次日凌晨执行自动验证。自动验证完成后,您可查看弱密码加固结果。
6.进入“告警通知”页面,勾选“告警等级”的所有选项,一旦检测出弱口令,您将会收到告警通知。
图5 设置告警
事中:主动防御
手段一:病毒云查杀+使用智能学习策略防御勒索病毒(旗舰版)
HSS提供隔离查杀功能,将已感染主机迅速采取隔离措施防止病毒扩散蔓延。
-
在页面左上角选择“区域”,单击左侧菜单栏,选择“安全与合规 > 企业主机安全”,进入企业主机安全平台界面。
-
在界面左上角单击“体验新版”,进入云工作负载保护平台(主机安全+容器安全)页面。
-
进入“安全告警事件”页面,查看并处理“恶意程序(云查杀)”告警事件。
图8 进入恶意程序
-
选择“隔离查杀”,一键查杀勒索病毒。
-
选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。
进入“告警通知”页面,勾选“告警等级”的所有选项,一旦检测出恶意程序,您将会收到告警通知。
图9 设置告警
使用智能学习策略防御勒索病毒
1.HSS可有效监控您云主机上的勒索软件及进程的加密行为,并进行及时的告警,对资产进行全面防护,有效保护您的文档和内容的安全,保障您的主机不被勒索病毒侵害。
2.创建智能学习策略
a.在页面左上角选择“区域”,单击左侧菜单栏,选择“安全与合规 > 企业主机安全”,进入企业主机安全平台界面。
b.在界面左上角单击“体验新版”,进入云工作负载保护平台(主机安全+容器安全)页面。
c.进入“勒索病毒防护”页面,选择“防护服务器”,单击为“服务器开启防护”,为目标服务器创建智能学习策略。
图10 进入创建防护策略页面
在弹出的对话框选择Linux系统,开启防护,选择或新建策略,选择后单击“下一步”,如图11所示,参数说明如表1所示。
图11 勒索防护配置
配置完成,单击“下一步”,配置服务器备份规则和保留规则,如图12所示。
根据需要可自定义开启或关闭服务器备份,建议开启。
开启服务器备份,单击“保留规则”项的“修改备份策略”,可对备份规则进行修改。
图12 配置服务器备份
配置完成,单击“下一步”,进入服务器选择页面,通过分组筛选或服务器名称搜索目标服务器,勾选目标服务器,如图13所示。
图13 选择目标服务器
-
确认无误,单击“确认”,创建策略成功且开启了服务器勒索防护。
-
进入“勒索病毒防护”页面,在“事件管理”列表中,您可查看并处理告警事件。
-
在弹出的处理事件窗口中,标记“可信”或者“不可信”。
-
您可以对非策略中的进程行为,或者“不可信”的进程行为进行手动阻断,并隔离查杀。防止非策略中的进程行为,或者不可信的进程对文件的加密操作。
-
处理告警事件
-
手段二:锁定文件防篡改(网页防篡改版)
HSS可锁定驱动级文件目录、Web文件目录下的文件,禁止攻击者修改锁定的文件目录下的文件。若HSS检测到锁定目录下的文件被篡改,将立即使用本地主机备份文件自动恢复被非法篡改的文件。
若本地主机上的文件目录和备份目录失效,可通过远端备份服务恢复被篡改的文件。
-
在页面左上角选择“区域”,单击左侧菜单栏,选择“安全与合规 > 企业主机安全”,进入企业主机安全平台界面。
-
在界面左上角单击“体验新版”,进入云工作负载保护平台(主机安全+容器安全)页面。
-
进入“主动防御 > 网页防篡改”页面,单击“防护设置”,进入防护设置页面。
图14 进入防护设置
在“防护设置”页面,添加防护目录,并将文件进行本地备份。
启动远端备份。HSS默认会将防护目录下的文件备份在“添加防护目录”时添加的本地备份路径下,为防止备份在本地的文件被攻击者破坏,请您启用远端备份功能。
-
进入“网页防篡改 > 安装与配置”页面,在“远端备份服务器”页面,添加远端备份服务器。
进入“网页防篡改 > 防护列表”,单击“防护设置”,进入防护设置页面,为防护目录启动远端备份。
图15 启动远端备份
事后:备份恢复
结合云服务器备份服务,当云服务器被勒索病毒侵害,存储在云服务器中的文件、数据丢失或者无法正常打开时,您可以通过重装服务器系统,并通过云服务器备份的数据恢复云服务器。
1.选择“计算 > 弹性云服务器”,在待重装操作系统的弹性云服务器的操作列下,单击“更多 > 镜像/磁盘/备份 > 重装系统”。
2.选择“存储 > 云服务器备份”,找到服务器所对应的备份,单击服务器所在行的“恢复”。
恢复成功后,被勒索病毒攻击的文件可正常打开。
到此服务器防护就设置完毕,个人电脑最方便的就是安装腾讯管家也可以,有个防勒索服务,开启备份文档。
郑州国云网络科技
企业信息化解决专家
华为云合作伙伴