回复:企业用户中勒索病毒始末
哎呀
好久没研究病毒了,也好久没叨叨过关于病毒的话题了,这几年一直只顾着叨叨女孩子们
今天也说两句病毒上的事吧
目前的勒索病毒这块的主要发展是这样的:
一是肯定要做针对性免杀处理,就是向世界放出病毒文件之前要精细的针对全球主流杀毒做免杀处理。这样才能保证在有杀毒软件的电脑内可以良好的运行起来。
二是提升攻击漏洞,就是寻找利用近十几年内才出的大量Windows肯定会普遍使用的某些功能的漏洞,例如远程桌面漏洞,例如文件共享漏洞,其目的就是为了攻击成功,尤其是通过局域网某一台电脑误下载误运行不明程序开启病毒后,病毒可以扫描攻击同局域网内其他电脑的漏洞去感染破坏网内其他电脑。因为可能网内其他电脑不连外网。这是相比于过去早期的纯只感染连外网电脑不感染局域网其他电脑的早期勒索病毒的区别。
三是病毒运行后一般都采取调取Windows自身的系统程序去执行加密行为,因为只有这样才能让所有安全软件采取的数字验证通过并放行这个最终的加密行为。
四是病毒主体运行后即删除自身,以保证即便后期杀毒软件拿到样本加库后,这边的用户升级杀毒软件也本地扫描不出什么。
另外话题,所谓扫描出病毒源头,那是不可能的了,一是因为病毒运行后立即删除自身,二是源头这玩意不好说,可能系统漏洞直接被攻击,可能本单位局域网内有人就傻不拉几的下载运行了不明文件导致病毒运行起来,或下载查看了不明邮件的附件。或使用移动存储设备从外面带入本单位。
目前查看的办法,也就是全网电脑停止工作封存,由专业人员根据所有电脑里被加密文件的时间去反推那时候谁在捣鼓电脑,谁在干什么事。根据网络设备和电脑内的各种日志去分析.............
这些看来是个浩大的工程,弄不了的了。
所以对于企业重要电脑内,最佳办法是精美的备份手段加上系统内禁止运行任何未经允许的程序即可很好的防止勒索病毒的运行。因为即便系统漏洞被攻击成功,但是病毒是无法运行起来的。因为它不属于允许运行的指定程序。
记得当年的SSM策略是就连规则内允许运行的程序的MD5值改变了,都不再允许运行呢。
另外一个无比重要的事情,或者叫细节吧,就是目前所有勒索病毒所利用的那个最终执行加密行为的Windows系统程序是人们日常无论是普通电脑还是服务器中都几乎千年不会用到的程序呢。因此禁止任何未经指定的程序运行是最佳办法了。当然精美的备份手段是必须要有的。
