最近一个多月的时间公司两台服务器遭勒索病毒感染,重要数据全部被加密,负责网络安全的同事也束手无策,还好提前进行过备份,损失不是特别大。2020注定是不平凡的一年,新冠病毒肆虐,给各行各业带去了不同程度的影响,远程办公、企业上云等云化场景的激增导致了网络开放度的提升,全球数字化进程也因此加快,与此同时,在我们看不见的地方另一个病毒同样在疯狂扩散——勒索病毒,回顾整个 2020 年,天价赎金事件不断上演,新的病毒不断涌现,旧的病毒不断变种,勒索病毒攻击比以往都来得更猛了些,大到企业小至个人,都无时无刻不遭受着攻击者们的虎视眈眈。

勒索病毒

一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密且难以破解,必须拿到攻击者的私匙才可解密。危害极大,一旦感染将给用户带来无法估量的损失。

曾听闻一个传言:普通人的电脑几乎不会被黑,因为没有入侵价值。听起来有一定道理,跟企业的服务器相比,个人电脑的攻击价值确实不值一提,但 蚊子虽小也是肉啊!早些时候,攻击者拿下一台普通人的电脑确实挣不了几个钱,常见的做法是劫持浏览器点击小广告挣点广告费,要么是拿来当肉鸡。数字货币火了之后,攻击者开始利用受害者的电脑算力来挖币,这种在网吧比较常见,因为网吧电脑常年开着机显卡又好,网管说话又好听,个个都是人才。

然而,勒索病毒的出现让蚊子肉有了新的烹饪方法,普通人的攻击价值陡然提升:直接黑进去文件全锁上,然后坐等收赎金就完事了。受害者也许是个HR,大量公司简历被加密;也许是个设计师,刚改完的最后一版没了;也许是个学生,毕业论文刚写完;或者就只是个普通宅男,硬盘里几个T的小姐姐挥一挥衣袖,不带走一篇云彩 ......幸福千篇一律,一千个人却有一千种悲伤。可以说,勒索病毒以一己之力拉高了普通老百姓电脑被黑的概率。

日常防范

勒索病毒来势汹汹,但也不必过分恐慌。事实上,只要及时更新系统,打上安全漏洞补丁,便会最大限度地免于感染本次勒索病毒,而微软早已经发布了相关的漏洞补丁。

  • 鉴于勒索病毒无孔不入的传播性,从入口下手不失为一个好办法,不明链接不要点击、下载,不明邮件及office文件不要打开。
  • 所以要及时关闭445、135、137、138、139等端口(关闭方法参考),关闭网络共享。
  • 升级系统安装补丁,Windows 2003和XP没有官方补丁,用户可打开并启用Windows防火墙,进入“高级设置”,禁用“文件和打印机共享”设置。对于Windows XP、2003等微软已不再提供安全更新的机器,还可使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
  • 开启防火墙、安装安全软件,防火墙在个人电脑中其实扮演的是遮羞布的角色,它可以将有漏洞的一些服务端口遮盖起来,不暴露出去,这样病毒自然无法感染你的计算机,比如WannaCry利用的445端口的漏洞。
  • 网络安全是一个黑白双方不断对抗不断博弈的过程,在这个过程中即使做了目前想到的所有安全措施,也难免会有中招的时候,所以养成定期备份(非本地备份)重要数据是一个很好的习惯,可以大大降低数据丢失时的损失。

附360互联网安全中心给出的八点建议:

  1. 避免在服务器中使用过于简单的口令。登录口令尽量采用大小写字母、数字、特殊符号混用的组合方式,并且保持口令由足够的长度。同时添加限制登录失败次数的安全策略并定期更换登录口令。
  2. 多台机器不要使用相同或类似的登录口令,以免出现“一台沦陷,全网瘫痪”的惨状。
  3. 重要资料一定要定期隔离备份。此处尤其注意隔离,在以往的反馈案例中从来不乏确有备份,但由于在同一网络内,导致备份服务器一同被加密的情况。
  4. 及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。
  5. 关闭非必要的服务和端口如135、139、445、3389等高危端口。
  6. 严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。
  7. 提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件。
  8. 安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。

自救偏方

你正开开心心地玩电脑,屏幕上忽然弹出一个奇怪的窗口,上面显示一堆看不太懂的英文,以及一个诡异的小锁 或者倒计时,一般情况下,桌面还会弹出一个 txt 文本或html页面:来自远方的勒索者送来一封亲切的问候信,给了你狠狠一巴掌。恭喜你,中招了(有幸目睹同事中毒过程)。

被感染后没有攻击者的密匙基本可以躺平了,若觉得还能再抢救一下,可予你一剂偏方:

断网

首先对中招设备进行隔离,有网线就直接拔网线,没网线则断开WiFi,如果此时你周围还有同事或者朋友正在上网,悄咪咪看一下他们的电脑是否也出了问题。许多勒索病毒具有横向传播功能,就像是感染病毒一样传染给局域网里的其他电脑,早断网一秒,亲人少流一行泪,如果整个办公室都因为你而中招,那么勒索你的就不再只有黑客,还有你的同事和老板。

收集病毒特征

仔细回想一下,在中毒的前一刻,自己是不是上什么网站,打开了什么文件。总之,能找到病毒的样本最好,观察被加密的文件的后缀名,不同勒索病毒的后缀不一样,一般通过后缀名就能大致判断种类,观察勒索信里信外,看有没有透露能判断勒索软件的标志。

自主解密

正所谓求人不如求己,即便你是个电脑小白,也有一定概率直接找到解密工具。全世界的安全公司都在努力对抗勒索病毒,其中很多公司都推出了的勒索病毒免费解密工具聚合网站。

卡巴斯基

360

奥地利知名杀软 Emsisoft

安全研究团队 malwareteam

由各国警方和几家著名的网络公司联合发布的“公益救助”网站

这些网站的基本流程都差不多:上传病毒样本、被加密的文件、勒索信全文或是信里的邮件地址等信息,它就能自动帮你分辨是哪一款勒索软件。如果是目前已经被攻破的勒索软件,恭喜你,网站会提供对应的解密工具和详细的使用说明。

求助

你可以去一些技术研究或者安全论坛摇人,像“吾爱破解论坛”、“卡饭论坛”之类的,以及各大网络安全公司的官方论坛,比如“卡卡安全论坛”、“火绒论坛”、360社区等,找到相应版块,招呼网友和管理员。遇到危险大喊救命并不丢人,也不要觉得这是无谓的求助,大隐隐于市高手在民间,技术大神经常隐藏在群众灌水的队伍里。网上有过不少通过论坛求助成功解密的案例,省下价值几台iPhone的赎金。

交钱

万不得已,你还可以求助万能的淘宝,搜索“勒索病毒解密”,你会发现上面有一大票店家。从逻辑上来讲,正牌安全公司代表着这颗星球最强的反勒索实力,但凡某款勒索病毒被安全公司攻破,通常会昭告天下:“XXXX公司率先攻破XXXX”,然后相应的解密工具就会同步到各大反勒索网站。淘宝店主不是太可能掌握某种特殊的解密技巧,帮人解密的店铺,其实大部分用的也是网上公开的解密工具或者充当中间商赚差价,当然不排除有技术大神。如果决定通过勒索信联系攻击者,不妨编一段声泪俱下的故事,砍砍价 ,或是告诉对方自己正在想办法准备赎金,但是没有购买虚拟币的经验,需要一些时间学习和开户。顺道说一个小操作:通常情况攻击者为了证明自己有能力解密,会给一次测试解密的机会,比如允许你发给他三个文件,免费帮你解密。如果你被加密的文件里,有一些需要紧急使用的非机密文件,不妨直接发给勒索者让他解密。

死磕

所以其实最重要的是,你必须做好自救失败的打算,如果没什么重要的文件,选择全盘格式化重装系统重头再来,一个小时后又是一条好汉,如果被勒索的文件也不紧急,倒也不妨下定决心死磕,兴许过一段时间安全公司就会找出解密方法。不过这个期限可能是一个月,也可能是一年,甚至十年,就跟中彩票似的。总之,看命。

勒索病毒这事儿未来一定会越来越多,一个很重要的原因是肉身太难抓,这个逻辑和电信诈骗难打击一样,犯罪分子肉身藏在国外,存在跨境执法困难的问题。希望大家平时不乱点文件,不乱看不该看的东西,上正规的网站,养成备份重要文件的习惯,或者干脆用同步云盘,实时同步重要文件。

除了摆平当下遇到的事,更大的意义在于防止未来再踩同样的坑 。祝各位网上冲浪愉快。