微信公众号:计算机与网络安全
来源:360CERT
本次报告根据2021年360政企安全高级威胁研究分析中心反病毒部所监测、分析和处置的勒索病毒事件为基础,进行分析梳理与情况总结。内容以国内形势为基础,也加入了国际热点事件与形势的分析,旨在评估勒索病毒在2021年所展现出来的传播及演化态势,进而对勒索病毒在未来可能会产生的发展方向进行探究,以此帮助个人用户和企业管理员更好的做出安全规划,降低被勒索攻击风险。
360反勒索服务全年共接收并处理了超4100例勒索病毒攻击求助,其中超过4000例确认遭受勒索病毒攻击。受三款新兴勒索病毒家族影响,勒索攻击反馈在年末的10、11、12 三个月呈现了较为明显的上涨态势。
国内流行勒索病毒家族以phobos、Magniber、Stop为主,这三大勒索病毒家族的受害者占比约为37.3%。逐月分析流行勒索病毒各家族占比,则发现通过弱口令攻击部署病毒的传播量较为平稳,而通过其他传播方式投放的勒索病毒则传播量波动较大。
勒索病毒加密手段日渐趋同,说明主流技术方案已基本成熟,也意味着通过代码漏洞破解勒索病毒将会越来越困难。
远程桌面依然是勒索病毒最主要的入侵方式,在所有入侵方式中占到近6成。
双重/多重勒索已成发展趋势,Conti、LockBit、Pysa三大家族领头。重点攻击服务、加工制造、金融与贸易等行业。美国成为此类攻击的重灾区。
▼
(全文略)
面对严峻的勒索病毒威胁态势,我们分别为个人用户和企业用户给出有针对性的安全建议。希望能够帮助尽可能多的用户全方位的保护计算机安全,免受勒索病毒感染。
一、 针对个人用户的安全建议
对于普通用户,我们给出以下建议,以帮助用户免遭勒索病毒攻击。
(一)养成良好的安全习惯
1. 电脑应当安装具有高级威胁防护能力和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易采取放行操作。
2. 可使用安全软件的漏洞修复功能,第一时间为操作系统和浏览器,常用软件打好补丁,以免病毒利用漏洞入侵电脑。
3. 尽量使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。
4. 重要文档、数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
5. 电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。
(二)减少危险的上网操作
1. 不要浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。
2. 不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为 js、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。
3. 电脑连接移动存储设备(如U盘、移动硬盘等),应首先使用安全软件检测其安全性。
4. 对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
二、针对企业用户的安全建议
(一)企业安全规划建议
对企业信息系统的保护,是一项系统化工程,在企业信息化建设初期就应该加以考虑,建设过程中严格落实,防御勒索病毒也并非难事。对企业网络的安全建设,我们给出下面几方面的建议。
1. 安全规划
网络架构,业务、数据、服务分离,不同部门与区域之间通过VLAN和子网分离,减少因为单点沦陷造成大范围的网络受到攻击。
内外网隔离,合理设置DMZ区域,对外提供服务的设备要做严格管控。减少企业被外部攻击的暴露面。
安全设备部署,在企业终端和网络关键节点部署安全设备,并日常排查设备告警情况。
权限控制,包括业务流程权限与人员账户权限都应该做好控制,如控制共享网络权限,原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。
数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等,避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
敏感数据隔离,对敏感业务及其相关数据做好网络隔离,如有必要甚至建议做好设备之间的物理隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。
2. 安全管理
账户口令管理,严格执行账户口令安全管理,重点排查弱口令问题,口令长期不更
新问题,账户口令共用问题,内置、默认账户问题。
补丁与漏洞扫描,了解企业数字资产情况,将补丁管理作为日常安全维护项目,关注补丁发布情况,及时更新系统、应用系统、硬件产品安全补丁。定期执行漏洞扫描,发现设备中存在的安全问题。
权限管控,定期检查账户情况,尤其是新增账户。排查账户权限,及时停用非必要权限,对新增账户应有足够警惕,做好登记管理。
