存儲域
數據庫加密 諾亞防勒索訪問域
數據庫防水壩 數據庫防火牆 數據庫安(ān)全審計 動态脫敏流動域
靜态脫敏 數據水印 API安(ān)全 醫(yī)療防統方運維服務(wù)
數據庫運維服務(wù) 中(zhōng)間件運維服務(wù) 國(guó)産(chǎn)信創改造服務(wù) 駐場運維服務(wù) 供數服務(wù)安(ān)全咨詢服務(wù)
數據出境安(ān)全治理(lǐ)服務(wù) 數據安(ān)全能(néng)力評估認證服務(wù) 數據安(ān)全風險評估服務(wù) 數據安(ān)全治理(lǐ)咨詢服務(wù) 數據分(fēn)類分(fēn)級咨詢服務(wù) 個人信息風險評估服務(wù) 數據安(ān)全檢查服務(wù)2025中(zhōng)國(guó)互聯網産(chǎn)業年會丨《中(zhōng)國(guó)互聯網産(chǎn)業綠色算力發展倡議》正式發布
2025-02-07
美創用(yòng)戶專訪 | 精(jīng)細化管理(lǐ):醫(yī)療行業數據分(fēn)類分(fēn)級的策略與實踐
2025-01-10
容災演練雙月報|美創助力某特大型通信基礎設施央企順利完成多(duō)個核心系統異地容災演練
2025-01-10
國(guó)家級|美創、徐醫(yī)附院共建項目入選工(gōng)信部《2024年網絡安(ān)全技(jì )術應用(yòng)典型案例拟支持項目名(míng)單》
2024-12-20
全球數據跨境流動合作(zuò)倡議
2024-11-22
本月國(guó)内遭受勒索病毒攻擊的地區(qū)分(fēn)布圖如下所示,江蘇、上海、浙江、廣東最為(wèi)嚴重,其它地區(qū)也遭受到不同程度的攻擊。從整體(tǐ)區(qū)域分(fēn)布上來看,攻擊者更傾向于經濟發達地區(qū)和人口密集地區(qū)。原因可(kě)能(néng)為(wèi)經濟發達地區(qū)更具(jù)有(yǒu)贖金交付能(néng)力,而人口密集地區(qū)數據被破壞後可(kě)能(néng)造成更嚴重的社會負面影響。
從行業劃分(fēn)來看,數據價值較高的教育、互聯網、醫(yī)療、制造業等行業延續了以往的高占比。
下圖是美創第59号實驗室對勒索病毒監測後所計算出的7月份勒索病毒家族流行度占比分(fēn)布圖,将近50%的勒索軟件攻擊是由三種最常見的勒索軟件變種(Phobos、Mallox、BeijngCrypt)進行的。
勒索病毒傳播方式
下圖為(wèi)勒索病毒傳播的各種方式的占比情況。根據統計可(kě)以看出,勒索病毒的主要攻擊方式依然以遠(yuǎn)程桌面入侵為(wèi)主,其次利用(yòng)網站挂馬和高危漏洞等方式傳播,整體(tǐ)攻擊方式呈現多(duō)元化的特征。
Phobos勒索軟件從2019年開始在全球流行,并一直保持着很(hěn)高的活躍度,并常年占據勒索病毒榜單前三,其不斷推出新(xīn)變種,并頻繁通過RDP暴破、釣魚郵件等方式對企業單位及個人用(yòng)戶進行攻擊,使受害者遭受數據财産(chǎn)的嚴重損失,影響十分(fēn)惡劣。
Mallox(又(yòu)被稱作(zuò)Target Company)最早出現于2021年7月中(zhōng)旬,并在2021年12月開始進入國(guó)内。其采用(yòng)RaaS(勒索軟件即服務(wù))模式運營,将企業作(zuò)為(wèi)其攻擊目标。Mallox病毒主要針對企業的Web應用(yòng)發起攻擊,包括Spring Boot、Weblogic、通達OA等,在拿(ná)下目标設備權限後還會嘗試在内網中(zhōng)橫向移動,獲取更多(duō)設備的權限,危害性極大。
BeijngCrypt勒索家族最早出現于2020年7月初,主要通過暴力破解遠(yuǎn)程桌面口令後手動投毒。該病毒早期傳播因修改文(wén)件後綴為(wèi)“.beijing”而被命名(míng)為(wèi)BeijngCrypt,之後出現的變種會将被加密文(wén)件後綴修改為(wèi)“.520”和“.360”。攻擊者向受害者索要4500美元到5000美元不等的等價虛拟貨币作(zuò)為(wèi)贖金。
在線(xiàn)點評:
1.Mallox勒索病毒運行後迅速加密數據庫文(wén)件,導緻文(wén)件不可(kě)用(yòng),影響業務(wù)運行,同時還會嘗試在内網中(zhōng)橫向移動,獲取更多(duō)設備的權限并進一步擴散。
位于江蘇的某企業遭到BeijngCrypt勒索病毒攻擊,在攻擊期間,勒索軟件操控者設法獲得對内部服務(wù)器的控制權後下發勒索病毒文(wén)件,勒索病毒運行後迅速加密數據庫文(wén)件,并在文(wén)件名(míng)後添加“.halo”後綴,導緻文(wén)件不可(kě)用(yòng),影響了部分(fēn)業務(wù)的運行。
2.勒索病毒通常通過電(diàn)子郵件、惡意軟件下載、漏洞利用(yòng)和惡意廣告等方式傳播。
(一)隔離中(zhōng)招主機
(二)排查業務(wù)系統
在已經隔離被感染主機後,應對局域網内的其他(tā)機器進行排查,檢查核心業務(wù)系統是否受到影響,生産(chǎn)線(xiàn)是否受到影響,并檢查備份系統是否被加密等,以确定感染的範圍。
(三)聯系專業人員
面對嚴峻的勒索病毒威脅态勢,美創第59号實驗室提醒廣大用(yòng)戶,勒索病毒以防為(wèi)主,注意日常防範措施,以盡可(kě)能(néng)免受勒索病毒感染:
① 及時給辦(bàn)公(gōng)終端和服務(wù)器打補丁,修複漏洞,包括操作(zuò)系統以及第三方應用(yòng)的補丁,防止攻擊者通過漏洞入侵系統。
② 盡量關閉不必要的端口,如139、445、3389等端口。如果不使用(yòng),可(kě)直接關閉高危端口,降低被漏洞攻擊的風險。
③ 不對外提供服務(wù)的設備不要暴露于公(gōng)網之上,對外提供服務(wù)的系統,應保持較低權限。
④ 企業用(yòng)戶應采用(yòng)高強度且無規律的密碼來登錄辦(bàn)公(gōng)系統或服務(wù)器,要求包括數字、大小(xiǎo)寫字母、符号,且長(cháng)度至少為(wèi)8位的密碼,并定期更換口令。
⑤ 數據備份保護,對關鍵數據和業務(wù)系統做備份,如離線(xiàn)備份,異地備份,雲備份等, 避免因為(wèi)數據丢失、被加密等造成業務(wù)停擺,甚至被迫向攻擊者妥協。
⑥ 敏感數據隔離,對敏感業務(wù)及其相關數據做好網絡隔離。避免雙重勒索病毒在入侵後輕易竊取到敏感數據,對公(gōng)司業務(wù)和機密信息造成重大威脅。
⑦ 盡量關閉不必要的文(wén)件共享。
⑧ 提高安(ān)全運維人員職業素養,定期進行木(mù)馬病毒查殺。
⑨ 部署美創數據庫防火牆,可(kě)專門針對RushQL數據庫勒索病毒進行防護。
⑩ 安(ān)裝(zhuāng)諾亞防勒索軟件,防禦未知勒索病毒。
為(wèi)了更好地應對已知或未知勒索病毒的威脅,美創通過對大量勒索病毒的分(fēn)析,基于零信任、守白知黑原則,創造性地研究出針對勒索病毒的終端産(chǎn)品【諾亞防勒索系統】。諾亞防勒索在不關心漏洞傳播方式的情況下,可(kě)防護任何已知或未知的勒索病毒。以下為(wèi)諾亞防勒索針對勒索病毒的防護效果。
美創諾亞防勒索可(kě)通過服務(wù)端統一下發策略并更新(xīn)。默認策略可(kě)保護office文(wén)檔【如想保護數據庫文(wén)件可(kě)通過添加策略一鍵保護】。
無諾亞防勒索防護的情況下:
在test目錄下,添加以下文(wén)件,若服務(wù)器中(zhōng)了勒索病毒,該文(wén)件被加密,增加統一的異常後綴,并且無法正常打開。
開啓諾亞防勒索的情況下:
雙擊執行病毒文(wén)件,當勒索病毒嘗試加密被保護文(wén)件,即test目錄下的文(wén)件時,諾亞防勒索提出警告并攔截該行為(wèi)。
查看系統上被測試的文(wén)件,可(kě)被正常打開,成功防護惡意軟件對被保護文(wén)件的加密行為(wèi)。
開啓堡壘模式的情況下:
為(wèi)保護系統全部文(wén)件,可(kě)一鍵開啓諾亞防勒索的堡壘模式。堡壘模式主要針對亞終端,例如ATM機,ATM機的終端基本不太會更新(xīn),那麽堡壘模式提供一種機制:任何開啓堡壘模式之後再進入終端的可(kě)執行文(wén)件都将被阻止運行,從而實現諾亞防勒索的最強防護模式。
運行在堡壘模式下,執行該病毒,立刻被移除到隔離區(qū),因此可(kě)阻止任何已知或未知勒索病毒的執行。
官方訂閱号
官方服務(wù)号
第59号
浙公(gōng)網安(ān)備 33010502006954号 
