勒索病毒预防办法,勒索病毒的防范措施

前言

      勒索病毒，是伴随数字货币兴起的一种新型病毒木马，通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击，将会使绝大多数文件被加密算法修改，并添加一个特殊的后缀，且用户无法读取原本正常的文件，对用户造成无法估量的损失。勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件，绝大多数勒索软件均无法通过技术手段解密，必须拿到对应的解密私钥才有可能无损还原被加密文件。黑客正是通过这样的行为向受害用户勒索高昂的赎金，这些赎金必须通过数字货币支付，一般无法溯源，因此危害巨大。

趋势

      自去年5月份Wannacry勒索病毒爆发后，国内勒索病毒就一直呈现高发状态，主要通过漏洞在XP、Win7等老旧系统中大肆传播，导致使用这些系统的政府、企业、学校、医院等局域网机构成为病毒攻击重灾区，而win10用户几乎不受此影响。除了漏洞，邮件与广告推广是病毒传播的另外两大方式。目前，被勒索病毒加密的文件依旧无法破解，避免造成损失的最好办法就是提前防御。

预防方法

      根据自己的工作经验，我总结了预防勒索病毒的几种方法，供大家参考。

      1、网络访问控制

      1）在边界防火墙关闭135、137、138、139、445端口，防止勒索病毒通过广域网传播进来。

      2）在楼层接入交换机、数据中心接入交换机及核心交换机的互联接口上应用ACL访问控制策略，关闭135、137、138、139、445端口，防止用户终端、主机终端感染病毒后，扩散传播，造成更大的损失。

      2、安全设备防护

      现在大多数安全设备/系统（IPS、防毒墙、防病毒软件等）都可以支持勒索病毒防御，所以你只需要做到以下两点。

      1）检查安全设备/系统是否开启了阻断勒索病毒策略。

      2）养成习惯，坚持每天查看安全设备官方网站，如果有特征库更新，立即进行升级。当然，你也可以开启安全设备特征库自动升级的功能。但是，我不建议这么做。我自己所管理的所有安全设备，全都关闭了自动更新功能，并且禁止安全设备连接互联网（内部管理员可以访问）。因为，你无法保证安全设备厂商不会留有任何后门，收集你们公司的数据，并上传至网上。

      3、终端设备安全加固

      终端设备的许多高危端口，如135、139、445等默认都是开放的，我们可以手动关闭这些端口。

      首先，来查看下系统当前都开放了什么端口，调出cmd命令行程序，输入命令”netstat -na“，可以看到当前系统开放了135、445以及5357端口，而且从状态看都处于监听状态”Listening“

      然后，为大家介绍一种通过windows组策略来一次性关闭所有想要关闭的危险端口。

      1.   在“开始”菜单选择“运行”，输入“gpedit.msc”后回车，打开本地组策略编辑器。依次展开“计算机配置---windows设置---安全设置---ip安全策略，在 本地计算机”

      2.   以关闭135端口为例（其他端口操作相同）：

      在本地组策略编辑器右边空白处 右键单击鼠标，选择“创建IP安全策略”，弹出IP安全策略向导对话框，单击下一步；在出现的对话框中的名称处写“关闭端口”（可随意填写），点击下一步；对话框中的“激活默认响应规则”选项不要勾选，然后单击下一步；勾选“编辑属性”，单击完成。

      3.   在出现的“关闭端口 属性”对话框中，选择“规则”选项卡，去掉“使用添加向导”前边的勾后，单击“添加”按钮。

      4.   在弹出的“新规则 属性”对话框中，选择“IP筛选器列表”选项卡，单击左下角的“添加”。

      5.   出现添加对话框，名称出填“封端口”（可随意填写），去掉“使用添加向导”前边的勾后，单击右边的“添加”按钮

      6.   在出现的“IP筛选器 属性”对话框中，选择“地址”选项卡，“源地址”选择“任何”，“目标地址”选择“我的IP地址”；   选择“协议”选项卡，各项设置如图片中所示。设置好后点击“确定”。

      7.   返回到“ip筛选器列表”，点击“确定”。返回到“新规则 属性”对话框

      8.   在ip筛选器列表中选择刚才添加的“封端口”，然后选择“筛选器操作”选项卡，，去掉“使用添加向导”前面的勾，单击“添加”按钮

      9.   在“筛选器操作 属性”中，选择“安全方法”选项卡，选择“阻止”选项；在“常规”选项卡中，对该操作命名，点确定

      10.选中刚才新建的“新建1”，单击关闭，返回到“关闭端口 属性“对话框，确认“IP安全规则”中 封端口规则被选中后，单击 确定

      11.在组策略编辑器中，可以看到刚才新建的“关闭端口”规则，选中它并单击鼠标右键，选择“分配”选项，使该规则开始应用！

      到此，大功告成，同样的方法你可以添加任何你想限制访问的端口的规则。

已知被利用漏洞

RDP协议弱口令爆破

Windows SMB远程代码执行漏洞MS17-010

Win32k提权漏洞CVE-2018-8120

Windows ALPC提权漏洞CVE-2018-8440

Windows内核信息泄露CVE-2018-0896

Weblogic反序列化漏洞CVE-2017-3248

WeblogicWLS组件漏洞CVE-2017-10271

Apache Struts2远程代码执行漏洞S2-057

Apache Struts2远程代码执行漏洞S2-045

Jboss默认配置漏洞(CVE-2010-0738)

Jboss反序列化漏洞(CVE-2013-4810)

JBOSS反序列化漏洞(CVE-2017-12149)

Tomcat web管理后台弱口令爆破

Spring Data Commons 远程命令执行漏洞(CVE-2018-1273)

WINRAR代码执行漏洞(CVE-2018-20250)

Nexus Repository Manager 3远程代码执行漏洞(CVE-2019-7238)

微信公众号：网络安全研究所  长按左侧二维码关注