现在大部分的勒索病毒都没有自主传播的能力,不像之前WannaCry可以通过永恒之蓝进行自主传播,主动感染其它存在漏洞的主机,现在流行的一些勒索病毒,像GandCrab、Globelmpsoter、CrySiS等勒索病毒都是单一的加密主机,不具备自主传播能力,需要人工植入,但不同的勒索病毒会使用不同的渠道进行传播感染。
应急响应发现现在勒索病毒大多数使用RDP爆破的方式进入企业,然后再通过各种安全工具,进行内网传播。流程如下:
1.通过RDP爆破进入企业
2.结束企业的终端软件
3.获取主机的口令密码
4.扫描内网中开放3389端口的主机
5.使用工具对3389主机进行爆破
6.通过RDP登录其它主机,感染勒索病毒,清理现场
7.本机感染勒索病毒,清理现场,防止应急响应人员溯源分析
随着虚拟货币的不断增值,针对企业的勒索攻击也越来越多,企业安全运维人员一定要做好相应的安全防护,勒索病毒无孔不入,大部分勒索现在都无法解密,以防为主……
关于勒索病毒的防护,给大家分享几个简单的方法:
1.及时给电脑打补丁,修复漏洞;
2.谨慎打开来历不明的邮件,点击其中链接或下载附件,防止网络挂马和邮件附件攻击;
3.尽量不要点击office宏运行提示,避免来自office组件的病毒感染;
4.需要的软件从正规(官网)途径下载,不要用双击方式打开.js、.vbs、.bat等后缀名的脚本文件;
对于来历不明的邮件、网址、程序、脚本等需要慎之又慎;
5.升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;
6.开启Windows Update自动更新设置,定期对系统进行升级;
7.养成良好的备份习惯,对重要的数据文件定期进行非本地备份,及时使用网盘或移动硬盘备份个人重要文件;
8.更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;
9.如果业务上无需使用RDP的,建议关闭RDP。
