比特币价格的推手之一：勒索病毒！再谈勒索病毒的防御

近两年来，勒索病毒在全球肆虐，一度成为比特币高价的推手之一。 由于病毒的不断变化和升级，被恶意锁定的重要数据文件只能以比特币的形式支付给黑客。 且不说被妥协造成的巨额经济损失，不少中毒企业也直接面临停产停工，损失更是惊人。

需要特别注意的是，部分国家和地区的法律明确规定，向黑客支付比特币赎回数据文件属于违法行为。 至少要面临被罚款的纪律处分。

2020年6月12日，作者已经写了一篇文章：使用防火墙来阻挡勒索软件，但这还远远不够。 今天说说一些方法，也算是对我的客户和粉丝的一些提醒和告白。

勒索软件的类型：

知己知彼，百战不殆。 我们先来了解一下勒索软件的种类：

1.锁屏勒索软件，顾名思义，中毒后直接用无法形容的图片锁屏，并要求受害者支付赎金换取解锁密码。 非法内容，需要支付罚款或“逮捕”。

2、隐私型勒索软件，即Doxware型勒索软件，网络犯罪分子声称掌握了受害人的个人隐私数据或隐私行为，如果受害人不按时支付赎金，个人隐私就会被公开，造成危害相当严重。

3.加密勒索，笔者认为当今最可恶最可恶的勒索病毒没有之一！ 进入系统后，硬盘中的大量数据文件被复杂的加密算法快速加密，受害者必须在一定时间内以比特币的形式支付赎金。 由于加密算法无法破解，比特币交易无法追踪，加密勒索病毒成为当今最流行的勒索病毒。

勒索病毒如何入侵：

1. 垃圾邮件：攻击者冒充受害人的合法组织、企业或联系人，在邮件中添加伪装成合法文件的恶意附件，或在邮件正文中提供恶意URL链接。 攻击者可以诱骗收件人打开恶意附件或访问恶意链接。 如果是恶意附件，当收件人打开附件时，勒索软件就会被偷偷下载，并对用户设备上的文件进行扫描和加密。 如果使用恶意链接，攻击者会提前在网页上安装木马，收件人点击链接后进入网页，勒索软件会在收件人浏览网页时将病毒传播到用户设备上。

2、漏洞利用：

漏洞是操作系统或应用程序中的编码错误。 攻击者经常使用漏洞利用工具包来检测设备操作系统或应用程序中可用于交付和激活勒索软件的安全漏洞。 最典型的案例就是2017年的WannaCry事件，Windows系统中存在一个名为“永恒之蓝”的已知漏洞。 WannaCry利用该漏洞在企业内网迅速传播。 据统计，仅2017年5月12日一天，就有超过90万台主机被感染。 此后，利用漏洞传播的勒索病毒开始爆发。

3、暴力破解：

暴力破解是最简单直接的入侵方式，攻击者利用工具扫描暴露在互联网上的高危端点

端口比特币勒索病毒攻击原理，然后通过字典攻击入侵。 如果用户系统存在弱口令，很容易被暴力破解渗透。

勒索软件最常见的传播方式是通过对远程桌面服务的暴力攻击。

笔者曾经接到一个客户的电话，说ERP无法登录，登录服务器后发现系统字体变了，看起来很奇怪。 仔细一看，发现安装了德语语言包，笔者的心沉了下去。 沉下去之后，看各种文件，果然是勒索病毒！ 应该是黑客暴力破解了服务器的管理员密码。 他看不懂中文，于是安装了语言包，然后手动将勒索病毒放到服务器桌面上。 不仅如此，可恶的黑客还利用管理员账户权限将群晖存储中的所有快照彻底删除。 直接导致客户停工停产数日，经济损失不可估量。

防御勒索软件：

1、及时更新补丁。 无论是系统补丁还是应用补丁，都需要及时更新。 虽然微软的更新经常出问题，但总比勒索软件好吧？

2、密码复杂，需要经常修改。 网关设备、服务器和计算机的密码要足够复杂，至少10个字符，大小写英文字母、数字和特殊符号。 2-3个特殊符号比较好，少了不行 太复杂了记不住。

3.离线备份。 面对日益猖獗的勒索软件和黑客攻击比特币勒索病毒攻击原理，定期离线备份是万无一失的解决方案。

4、部署网络版杀毒软件，比如火绒，是一款不错的杀毒软件，对防止勒索有一定效果。

5.购买专业的反勒索软件。 目前市面上已经有不错的反勒索软件。 主要原理是白名单机制，严格控制访问文件的过程，防止勒索病毒对文件进行写操作。

6、硬件防火墙配置保护方式：

需要注意的是，硬件防火墙需要购买相应的安全授权，否则和路由器没有太大区别。 以下操作默认购买并激活安全授权：IPS、AV、URL。

(1) 在防火墙上屏蔽高危端口：

创建服务组：选择对象 > 服务 > 服务组，然后单击新建按钮。存在

在“可选”面板中输入端口号（135、137、138、139、445、3389），查询对应的服务，添加到“已选”面板中。

创建安全策略：选择Policy > Security Policy > Security Policy，点击New Security Policy

单击“策略”按钮。 将服务设置为新创建的服务组“高风险端口”，并将“操作”设置为“禁止”。 配置完成后，置顶。

(2)在防火墙上配置IPS

检查签名的默认操作。 选择“对象”>“签名”。在搜索框中输入签名 ID 以查看其操作

做。 以下漏洞利用签名的默认操作应该是阻止。 如果没有阻塞，请记录下来。

签名 ID：13830、18822、24550、284600、370090、372110、372130、372280、

372290、372300、377950。

创建 IPS 配置文件。 选择 Object > Security Profiles > Intrusion Prevention.selected

“default”配置文件，点击“复制”，在弹出的对话框中，修改其名称和描述

添加异常签名。在Exception Signature选项卡的输入框中，一一输入以下暴力破解类签名ID，并

进入。 然后将其动作修改为“Block”（或“Block and isolate source IP”）。步骤1中记录的签名

ID，也需要添加到异常签名中。

签名编号：1000127、1000133、1000255、1000264

应用IPS配置文件。选择Policy > Security Policy > Security Policy编辑创建的安全策略

省略，参考刚才创建的IPS配置文件。

(3)在防火墙上配置AV

创建 AV 配置文件。 选择对象 > 安全配置文件 > 防病毒。 点击新建，

在对话框中，将邮件协议的动作调整为“声明”

应用AV配置文件。选择Policy > Security Policy > Security Policy编辑创建的安全策略

略，参考刚才创建的AV配置文件

设置邮件公告信息。选择“系统 > 配置 > 推送信息配置”，点击“邮件公告”

信息”，根据模板编辑公告信息，导入。

例如：

此邮件的附件（%FILE）含有病毒，请勿打开。

其中，%FILE为邮件附件的文件名。当收件人收到带有病毒的邮件时，邮件正文中会包含

有这个提示信息。

(4) 在防火墙上拦截恶意网址

创建 URL 过滤配置文件。 选择“对象 > 安全配置文件 > URL 过滤”。 单击“新建”，并在对话框中启用“恶意 URL 检测”。

确保阻止“恶意网站”和“其他类型”网站的行为。

应用URL过滤配置文件。选择Policy > Security Policy > Security Policy编辑创建的安全

Policy，参考刚刚创建的URL过滤配置文件。

路虽万千，安全第一，但万一真的中毒了，也没办法，买不起比特币的，直接格式化也没办法，得一步步来：

1、对于中毒的服务器或电脑，及时断开网络，避免大规模感染；

2、由于其特殊性，数据库文件恢复的可能性还是很大的，不要放弃；

3、全盘杀毒，找回未被勒索病毒加密的文件，及时复制出来；

4.将勒索病毒加密的样本文件发给专业人士，有一线希望不要放弃；

5、分析中毒原因，防止二次中毒；

6.确定数据无法解锁，留着也没用。 中毒服务器格式化所有硬盘，重装系统，重新部署。

——作者是一名网络工程师，擅长计算机网络领域，从业多年。 我希望与你分享我的经验。 如果您有相同或不同的看法，欢迎评论。