广州尧顺信息科技有限公司

 公司热线:13560099278

                 020-28101466

N

公司动态

news

勒索病毒紧急防御方法
来源: | 作者:pmodac4c0 | 发布时间: 2017-05-18 | 4525 次浏览 | 🔊 点击朗读正文 ❚❚ | 分享到:
                                                                                勒索病毒紧急防御方法
1、微软已经更新了补丁,修补链接参考原文。

2、无法升级服务器情况下,基于权限*小化原则,在边界防火墙或主机上关闭137,139,445等smb协议端口,做白名单管理。

3、赶快升级深信服下一代防火墙ips和僵木蠕防御检测安全特征库。
后续建议:

1、基于*小安全域原则。做好pc终端和关键服务器的分区分域,实现风险可控。

2、做好关键数据备份的制度和习惯。桌面云,超融合,云灾备都是可选方案。

smb漏洞id 10010236
ips的规则库时间是0415一:勒索病毒原理性说明:

1、勒索病毒会自动加密电脑文件(如源代码、Word、Excel、PPT、PDF等),会更改终端背景图片提出勒索要求,除支付赎金外,业界目前尚无解密办法

2、Locky勒索病毒主要以邮件和恶链木马的形式进行传播,附件一般是压缩包,通过各种形式诱使用户打开,一旦被打开客户端回去连接黑客的C&C服务器下载勒索软件加密主机文件,主动提示交付赎金解密文件;

3、勒索病毒传播途径非常多,电子邮件,恶意网页木马形式,也包括U盘传递文件安装等方式。

二、AF防护勒索病毒的原理:(重要)

1、AF防护勒索病毒的主要依靠僵尸网络功能和内置杀毒引擎,对应特征库是僵尸网络规则库和病毒库。(开启web应用防护和IPS只能防护web服务器及其中间件,对勒索病毒防护是无效的,防御的威胁对象是不一样的,就好像吃板蓝根是预防感冒而打乙肝疫苗是防乙肝病毒)

2、AF防御勒索病毒的原理也是两个层次:
1)直接杀毒:如果杀毒引擎在解析邮件附件中发现病毒(匹配到病毒特征库),直接拦截;
2)拦截下载过程:如果病毒已经通过其他方式达到客户端,则AF会拦截该中招客户端去连接黑客的C&C服务器(僵尸网络功能),阻断下载勒索软件动作,定位中招服务器(此项整体防御效果达到95%);

三、勒索软件绕过AF可能的原因:
1、僵尸网络模块和病毒库没有开启;
2、僵尸网络库和病毒库没有及时更新;
3、安全策略动作允许或者设备bypass;
4、勒索病毒未走AF通道,通过U盘或者通过内网感染;
5、勒索病毒种类繁多,不排除部分勒索病毒变种后绕过防火墙

四、勒索病毒的防御方式
1、开启僵尸网络和病毒库,把规则库升级到*新;
2、服务器只做Dnat,关闭上网权限
3、开启扩展名显示,不要运行可执行文件脚本(.EXE、.COM、.SCR、.PIF)、脚本(.BAT、.CMD、.JS、.JSE、.VBS、.VBE、.WSF、.WSH、.PS1、.PSC1)
4、定期备份文件
5、检查服务器安全问题是否存在高位入侵风险,申请深信服安全服务渗透测试