1. 聚能聊>
  2. 话题详情

“114个国家4.4万”加密勒索事件频发,我们该如何防范?

_

卡巴斯基在2016年12月份发布的年度热门事件:加密勒索报告显示,截止到2016年,全球有114个国家受到加密勒索事件的影响,共发现 44000多个勒索软件 样本。
亚信安全发布的勒索软件风险研究报告也显示,近十个月内,全球传播的勒索软件数量增长了15倍,中国勒索软件数量增长更是突破了67倍。

_2

如上图,企业如遭到勒索,需要按照要求支付“赎金”,否则文件将有可能永远无法打开。国外安全研究人员还发现,有勒索软件目标锁定 Linux服务器,还有新型的勒索软件集成了DDoS功能。

自勒索软件事件蔓延以来,阿里云安全团队除了为云上用户提供加固、应急建议,研发针对勒索加密软件的查杀功能之外,还动员白帽子“献计献策”,共同对抗勒索事件,保护企业安全。防护方案参考:加密勒索事件防护指引>>

作为企业信息管理者、安全或技术运维人员,你是否遇到过勒索事件呢?我们又该如何有效的防范?

本期话题希望与大家聊一聊,企业应该从哪些方面着手,提高安全防护等级,保障云上业务的安全性和稳定性。

·你和你的朋友是否遇到过勒索事件?

·你觉得是否必须要支付勒索“赎金”?

·你采取过什么样的防范措施,成效如何?

·对此你有什么经验、建议、或求助都可以发出来,大家共同探讨!

参与话题

奖品区域 活动规则 1月后 结束

  • 奖品一

    新春大礼包 x 3

  • 奖品二

    虾米VIP季卡 x 5

  • 奖品三

    定制笔记本 x 2

35个回答

1

小小的菜鸟 已获得虾米VIP季卡

我几个群里的网友遭遇过这样的事件,一个是网站被黑,文件全部被加密,一个是桌面被锁屏,最有趣的是那个网站被黑的,黑客并没有要赎金,而是在首页搞了一个摇数字的游戏,一共有6位数字,黑客留言说解密文件的密码就由六位数字组成,你要是摇对了文件就能解密,不然……
下面我就分享一下我的防范措施:
1.设置一个合格的系统密码,一个合格的密码由【不连续的数字+大写字母+小写字母+符号+不低于8位字符】组成,以上元素缺一不可!
2.更改敏感端口号,所谓敏感端口就是人尽皆知的重要端口号,比如22端口,3389端口等等,这些是必须要改的!
3.SSH禁止root用户登录,只需开放普通用户,使用sudo即可!
4.开启快照功能,我发现很多同学连快照是个什么东西都不知道,快照就是自动备份,设置好自动快照策略,被加密也不怕,回滚!
5.尽量最小化权限运行程序,尽量减少可登陆用户!
6.不使用非官方的程序插件等,也就是不要使用所谓的破解版,鬼知道里面加了什么!
以上就是我的个人经验,有不足的地方,欢迎补充!

正禾 回复

这些防护方案是不错的,但是不够,推荐您查看上文中的“加密勒索事件防护指引”,从体系让帮主您建立纵深安全防御体系,作为管理人员也需要提高安全意识,时刻关注安全,防患于未然,只有步步为营,做好每一个细节,才能保障业务安全可靠连续的运行。

黑客笨孩 回复

如果ssh没有禁止root登录,新建一个与root同组的用户,但是在配置禁止登录用户里配置了禁止root,root无法登录,与root同组的用户可以,是否存在风险。

正禾 回复

同样会出现风险,推荐使用VPN安全接入到内网后进行管理,这样确保运维与业务分离,同时对于运维数据进行加密,更廉价的方案可以用安全组控制访问源IP,对于这些高危服务端口不要直接暴露在互联网上,能隐藏就隐藏起来。

评论
0

keller.zhou 已获得虾米VIP季卡

该不该去支付赎金是让很多中招用户两难的问题,基本上安全专家都是不建议用户去支付赎金的,因为这会助长犯罪、更让病毒作者为所欲为。
但实际上在企业里遭遇到加密勒索病毒的情况下,发现影响重大许多重要文件都被破坏,在没有任何有效办法的情况下,如果只要花费不多的赎金有机会取回文件,用户可能就会去买单。
但你需要特别注意的是,你支付了赎金病毒作者并不一定就会给你解密密钥,这在中国更为常见,前段时间鸭子哥曾在某QQ群看到一位iPhone用户的设备被黑客锁定,而用户支付500元的赎金后黑客继续索要更高的赎金并变着理由来要。
所以如果你实在没办法的情况下向病毒作者支付赎金后并没有获得解密密钥且作者继续向你索要赎金那么一定不要再支付!
在现实生活中勒索行为已经触犯了刑法,但是让人无奈的是网络勒索犯罪通常都是跨国的事件,加上通过虚拟货币支付更是难以追查始作俑者。
我建议大家提高网络安全意识才是重中之重,没有一点点安全意识那么使用再多的防病毒软件也是白搭。

dageda 回复

现实的确就是这样的,造成勒索事件的因素太多,需要全方位的去拦截自身业务的安全弱点短板,然后持续的去关注和弥补短板,只有这样,才能治根!

评论
0

jitoli

前几天就遇到了一个安全问题,是一台放有Redis的服务,当时主要是为了测试所以就没有关心用户什么的问题,就直接用root启动了,可是,忘记关闭了。 最重要的是我还没设置密码,于是就悲催了,被人获得了root权限,还好发现的早。
我的解决方案呢就是
1、redis服务添加密码。
2、切换到不常用端口上去,避免自动化工具扫描的可能。
3、加防火墙策略,禁止我的服务器之外的ip访问redis端口。
4、最近突然想到阿里云不是可以只买服务器但是不买外网带宽嘛,这不就避免被外网入侵的危险了嘛。
5、我觉得server端服务在项目还在开发的时候就应像阿里一样将安全考虑进去,这样才是避免安全问题的最有效办法,并且也可以减轻运维人员的压力。

over

正禾 回复

做的很棒,加油,人人有安全意识和专业的技术,就可以大大的降低了安全风险了!

正禾 回复

您可以参考上文链接,再评估一下自身的业务,弥补短板。

懒得去懒 回复

我们公司也是一时疏忽,几台服务器因为这个重装系统了

评论
2

贾冬雪

没有遇到过大金额的了勒索,以前在QQ上面,就有人发垃圾软件,点开之后让你选择,如果不关系,就让你死机,关机。当时很恼火,怎么也关不掉。其他勒索现金的倒是没有发生过,电脑一般都装杀毒软件,服务器一般都是买阿里云,里面有服务,很多东西我不用学,直接用就行,如果真让专研攻击,预防,我还是欠缺很多的。

正禾 回复

加油,有需要帮助的可以提交工单!

评论
0

1591883889618259

加密勒索入侵的一般都是相对安全意识比较低的。自建服务器的需要学习如何攻击入侵,这样在防护方面就会做的比较全面。现在有云服务了,安全系数直线上升,比如阿里云的云盾,安骑士这样的产品基本就挡住了绝大部分的入侵。
攻防是天生一对,在防护之前先学习如何进攻,当然不要去做损人的事情。

dageda 回复

嗯嗯,赞一个!

正禾 回复

安全意识很重要,人人都需要参与,一起加油!👍

评论
0

bluemind

在应对勒索软件的威胁上,首先需要我们拥有安全意识,这是很关键的一步。比如,模拟的钓鱼软件攻击用户,设施里设置提醒的警示音,如此用户才能识别恶意软件是什么样的。用户会明白“我不应该打开它,而是删除它”。
  其次,采取一些简单的安全保护措施,能够有效避免遭遇威胁:一定要对系统进行备份,这样即使勒索软件感染,也不会导致你的个人数据永久丢失。此外,使用反病毒软件保护你的系统抵御勒索软件。同时,确保计算机上所有的软件保持更新。由于账户可能被盗,所以一定要随时保持警惕。

dageda 回复

👍

正禾 回复

备份数据是最后一根救命稻草了,最重要的还是要建立一个强壮的防御城墙,保护业务,您可以关注以上方案,从多维度多层面去加强,感谢您对阿里云的支持!

评论
0

我去上学校

证书登陆比密码安全 应该普及 aws上默认就证书登陆 阿里云作为云端大佬应该起到带头的作用,将运维安全标准化起来

dageda 回复

您的建议提的非常好,感谢您对阿里云的关注和支持!
除了我们可以提供意外,也有很多替代措施,比如使用vpn登录、控制访问源IP、用户也可以自己使用key登录等措施,当然这些对技术人员的水平和能力就有点高了,同时攻防是全面的东西,需要从各个层面去考虑加强,只有持续性的关注才能确保业务一直稳定运行。

正禾 回复
回复@dageda:

赞👍

评论
0

lfq108518

刚刚恢复完数据,全服务器的文件都被加密,俄罗斯的黑客,2万多赎金,一夜之间就这样了,4个通宵加班,服了啊

linanxiaoxiao 回复

e...中枪了~~保重!~~

dageda 回复

您可以参考以上防护方案对后续的业务进行加固,否则可能还会出现此类问题!

评论
0

懒得去懒

我们公司就遇到了这种勒索,建一个系统难,摧毁一个系统却很容易

正禾 回复

打江山容易,守江山难!

评论
0

keller.zhou

多年来,主要有两种勒索软件:基于加密和基于locker的勒索软件。加密勒索软件通常会加密文件和文件夹、硬盘驱动器等。而Locker勒索软件则会锁定用户设备,通常是基于Android的勒索软件。

新时代勒索软件结合了高级分发技术(例如预先建立基础设施用于快速广泛地分发勒索软件)以及高级开发技术(例如使用crypter以确保逆向工程极其困难)。此外,离线加密方法正越来越流行,其中勒索软件利用合法系统功能(例如微软的CryptoAPI)以消除命令控制通信的需要。现在勒索软件编写者还在继续其开发工作,更新预先存在的勒索软件或者制造新的勒索软件,我预测,增强灵活性和持久性将会成为勒索软件标准。

正禾 回复

现在有一些加密勒索软件已经集成了DDOS功能,危害特别的大,同时有一些变种已经瞄准了Linux服务器,勒索软件有井喷爆发的趋势。

评论
0

springold

七八年前就遇到的第一起过勒索事件,当时的手法相对更简单一些,我的一个政府单位客户因为安全意识不强,一个弱口令密码被黑客扫描到了,直接上主机把整个WEB目录打了个加密码的rar压缩包,然后留下一个QQ号码要钱。
当时处理手法是直接QQ联系上了那个黑客,告诉他这不是个普通政府网站,真不给解密密码后果会很严重,吓了一下黑客就把密码给了,在当时算是顺利解决了,换做现在恐怕就没这么容易了。
随着比特币的流行,黑客可以通过勒索方式直接向被黑对象要钱了,这对黑产来说是一次革命,原来长长的黑色产业链条缩短成了一步。从2013年,Cryptolocker 发布以来,这几年勒索事件发展迅猛,根据FBI的统计,光是2016年第一个季度,黑客就在美国市场勒索了2亿美金,光是美国本土就构成了一个10亿美金的市场。
从目前来看,勒索软件发展的趋势是: 勒索软件-->勒索蠕虫 进而还会发展出 勒索服务Ransomware as a service (Raas)。
勒索软件也好,勒索蠕虫也好都是讲究效率的,因此不会和APT攻击一样盯着一家搞, 作为用户需要有一定的安全意识,不要让自己的服务器有一些低级的漏洞,经常备份自己的关键数据,同时关注一下最新的高危安全漏洞情况,及时打补丁,基本上就能避免中招了。

正禾 回复

有安全意识的保障下,只要想解决都能解决,赞一个!

评论
0

xsusong

尽量用VPC网络,少用经典网络

正禾 回复

VPC的EIP 也要做好访问控制哦!

评论
0

nomat

还好我还没碰到过这样的勒索软件,碰到了也坚决对勒索说不,平常做好数据备份,常打补丁。这点阿里云做的很好,数据安全性高,防DDos,重大漏洞及补丁还会及时发布!

正禾 回复

用好安全组,做好访问控制,能藏就藏,能拒绝的就直接拒绝。

评论
0

1832184236435475

真不知道现在还有没有安全的产品

正禾 回复

软件都是人编写的,人就会犯错误,不同的人犯的错误高低不一样,造成的结果就不一样了,所以我们要有安全意识,时刻关注并准备着。

评论
0

自由的人_07

或许可以采用防火墙,用一些程序检测每次的ip,发现陌生ip加入待定名单,有一些问题的加入黑名单,也或许可以用大数据,搜集众多的数据,找出规律,进行破解。用超大型计算机或者云破解,对数字,字符串,字母进行组合,一次次的组合破解。

正禾 回复

嗯嗯,不信任原则是最好的防护思路!

评论
0

荒废的腰子

如果用shodan发现mongodb第一个dbname是这个的,嘿嘿,就基本确定中招了。。。
m1

m2

正禾 回复

是的,从您的截图可以发现,可以直接在互联网上访问mongoDB,且无任何认证登录机制,这样会很容易出现安全问题。

评论
1

winsdon

好多人对于互联网的防范意思并不是很强,个人观点,多学习点关于网络安全方面的知识,重要的东西要有备份,我们也搞个防盗库,里面就放一些重要的文件备份,这样即使被黑了也能把损失降到最低;还有就是软件下载去官网,没事别扫二维码,网页链接别乱点。

1

骑猪逛街666

现在还在流传的,给您发了一个2017新春惊喜,下面写着已有多少人抢到,点开 里面是红包 但是是很明显的病毒,微信广为流传啊,就在昨晚,我还上当了。不过没有被勒索,可能是我没啥利用价值吧
下面给大家个保护攻略:
1.加强安全意识
2.不随意打开不明来源的链接及网址
3.不随意打开可疑的邮件
4.安装一种防病毒软件
5.确保操作系统的安全更新补丁能够自动升级.
6.停止使用WindowsXP等已无更新支持的操作系统。
为了安全一直都在使用阿里云,毕竟勒索很可怕,就和我一样使用阿里云 安全 便捷...............

1

溜溜哒

公司一共两个服务器,都经历过被黑客攻击,其中还有一次是暴力破解。现在云服务器使用市场越来越大,那么安全问题也随之而来,公司发生的这些问题,其实在阿里云中完全可以解决,方法我就不一一说明。不过,事在人为,服务器的用户如何保证自身使用才是关键,不然服务器运营商也会爱莫能助。所以,类似putty的软件,一定要从官网下载和使用。还有一点关系到领导,技术领导没问题,问题是某些行外领导,提的建议只是耳边风。

个人观点1

容器技术和分布式架构的组合,以一种容错式的架构部署,那么被攻击的是点,而不是面,间接地提供服务器整体的健壮性。

个人观点2

世上没有不出错的事,那么维护服务器的安全也不例外。所以,应急预案和自我修复也是解决方法,用以极快的速度解决问题,何尝不是一种安全。

正禾 回复

分析的很到位,赞一个!

溜溜哒 回复
回复@正禾:

原来是博主点赞,还以为有新春大礼包了。:)

评论
1

熊猫正正

作为勒索软件,我个人的建议是
从企业的角度来说:以防为主,一般企业用户主要是要做好相应的防范措施,多提高企业相关人员的安全意识-特别是好些经常与外界接触的部门人员,比如HR,市场采购部等,这些部门的人员,会经常收到外界的一些邮件,这是勒索黑产人员进行攻击诱骗的主要手段与途径,还有就是企业内部要做好安全防控,及时更新安全软件,以及系统补丁,防止勒索软件利用漏洞进行攻击,最后就是要求企业对内部重要的文档以及数据及时进行备份,以防万一

从安全服务公司的角度:以攻为主,做到举一反三,当捕获到一个勒索样本之后,要对勒索样本进行深入的研究分析,找到样本的来源以及传播渠道,并对这些相应渠道进行相应的监控,如果是用户和企业反馈的样本,要实地进行跟踪,了解事件的整体感染过程,充分了解这些样本是如何进行攻击的,攻击手法,以及它所使用的加密算法等,当这些信息都掌握之后,我们可以应用一些自动化工具或相应的引擎进行样本的分类学习,可以及时有效的查杀清除样本,同时要跟进各渠道的监控,一旦发现新的样本变种,能及时更新样本库,防止新的变种出现,我们不能及时发现,导致用户中招

如果一个企业已经中了勒索样本病毒,能给的建议只能是:(1)如果重要数据都已经备份,可以格式化系统,进行重装,然后还原相关数据 (2)如果重要数据没有备份,可以寻找相关的安全团队进行求助,看勒索软件的加解密算法能否找到,通过解密算法对重要的文件进行还原 (3)如果已经中了勒索软件,然后勒索软件算法无法解密,就没有办法了,只能就按照要求支付相应的BTC,看黑产方人员守不守信用了

2
6241
浏览
0
收藏
邀请他人互动
关注
0
粉丝
6
话题
1

简介:

云安全专家,专业研究云安全5年+,擅长云安全防护体系建设和安全运营。