@HIT电脑110出品
勒索软件科普及其防范
近期,在电机楼里做实验的小伙伴们大多数出现了电脑中了勒索病毒的现象,此次在学校中出现的勒索软件不同于前期利用永恒之蓝爆发的勒索软件,屏蔽所谓的445端口是没有用的。
勒索软件的分类
所谓的勒索软件,即加密你电脑上的文件,让你无法正常打开他们,如果你想解密,就歹交钱。
按照勒索软件的传播方式,我们可以将其分为捆绑型,病毒型,蠕虫型,木马型,逻辑炸弹型:个人用户主要受前四种类型的影响,逻辑炸弹型的勒索软件主要对企业以及各种组织构成威胁。
1.捆绑型
捆绑于下载站下载的软件中,由于这类软件通常比较奇怪,你很容易将其加入安全软件的白名单,进而GG。
2.病毒型
可分为文件型病毒和引导型病毒,其主要特点是具有传染性。
3.蠕虫型
具有传染性,与病毒型区分,蠕虫的传染是主动的,而病毒的传染往往是被动的。比如前期由于永恒之蓝而爆发的wannacry。
4.木马型
相比于病毒和蠕虫,木马是不具有传染性的
5.逻辑炸弹型
在达到某种特定逻辑条件时触发。例如某人负责维护公司的人事系统,他便设计了一个小程序,定时检查人事系统的雇员列表,当列表中没有自己时,便加密整个认识系统进行勒索。
对勒索软件未来进化方向的预测
1.更智能地选择加密对象
显然,加密各种.exe没有什么太大价值,但是加密.pdf .doc .ppt .xls .m .c .py .cpp 显然就有很大的价值,这类文件往往很小但是很要命,完全可以在受害者毫无察觉的前提下迅速完成对整个电脑的加密。
2.利用驱动进行动态加解密
首先,勒索软件在系统中安装文件过滤型驱动,在驱动中动态加解密。当用户打开文件时,动态解密;当用户保存文件时,动态加密。配合第一条,最终实现受害者电脑上重要文件全是密文但又可以正常打开,当其认为时机成熟,便彻底销毁解密密钥,进行勒索。这类勒索软件如果产生,将对大多数人构成重要威胁,因为这类勒索软件完美的摧毁了绝大多数人的备份策略(备份出去的文件早就是密文了)。
3.利用各类账号进行勒索
勒索软件可以通过修改你各种账号的密码,对受害者进行勒索。
ps:你的密码在系统中存在于特定的位置,勒索者可以查找到位置进行密码的修改,或者是通过修改你的软件请求密码的位置(函数的返回位置),使你的软件无法读取到正确的密码。
对勒索软件的误区
1.交了钱就能解密
能做出勒索软件的开发者,拿了钱就闪人也是极有可能的。但是如果文件真的十分十分重要而备份策略又未能发挥作用时,建议大家先设法与勒索软件开发者沟通,分批支付,分批解密。
2.装了安全软件就高枕无忧
根据社团义诊的经验,中招的电脑上各类全家桶的运行状况都很好
3.macos/Linux高枕无忧
入侵者会考虑“投资回报率”,对于macos而言,由于其特殊性,机主往往有更强烈的“支付意愿”;而对于Linux,最大的吸引力是”服务器“,服务器往往有重要的业务数据,也就有更大的价值去加密。
对勒索软件的防范
个人用户层面
养成良好上网习惯,管理账号的习惯,安装优质的安全软件是一定要做的。大家从根本上防止入侵还是应该采用隔离的方法,隔离可分为进程级,用户级,虚拟系统级,物理系统级。
1.进程级
例如我们开一个Chrome,开一个Firefox,这两个浏览器里进行的操作显然是进程级的隔离,这类隔离往往没什么用。
2.用户级
比如我们在用户A中运行一个浏览器,再在用户B中运行一个浏览器,两者都运行在同一个操作系统中,但是形成了用户级别的隔离。一个优秀的注重安全的人,显然是不应当使用root或administrator用户进行日常操作。
虚拟系统级
在同一个host OS中运行多个guest OS,OS1用于写作业,OS2用于玩病毒,只要不发生虚拟机穿透、虚拟机之间不发生直接的网络连接,OS2中的操作就不会威胁到OS1。
一般来说,虚拟机系统级的隔离满足绝大所数人的安全需求。
注意:你必须保障host OS是安全的。
虚拟级防范的玩法
1.按照重要的程度划分工作,不同的工作使用不同的虚拟系统
比如学术上的生产工作在OS1中进行,学术上的查阅工作在OS2中进行,可靠的日常娱乐在OS3中进行,危险操作在OS4中进行等等
2.在单独的虚拟系统中操作“重置密码的邮箱”
3.在单独的虚拟系统中运行“随机密码生成器”
4.对极其重要的账号划分“登陆虚拟系统”和“操作虚拟系统”,即在“登陆虚拟系统”中登陆账号,再将cookie复制到“操作虚拟系统”中进行操作。
首先,技术上保证已知cookie是推不出密码的。从时间维度讲,“登陆虚拟系统”运行时间很短,攻击面降低;从空间维度讲,“登陆虚拟系统”只用于登陆,甚至连输入法都不用装,攻击面大大降低。
当然,防范账号泄露仅从这一方面是不行的,账号泄露有很多方式,例如恶意软件盗取,弱密码爆破,直接爆破,撞库,网络传输截取,服务端截取,偷窥,钓鱼,社会工程学猜解,诈骗等。
企业等组织层面
1.建立检查机制
一个成熟的组织内,应当有一套机制来检查系统中的重要部分。(例如cookie review)
2.建立安全审计机制
管理方面比较成熟的组织,应当有内部的安全审计。有些安全审计有助于在事前发现威胁人员;即使事前无法发现,安全审计也有助于事后追溯。
3.建立分权机制
负责业务系统的人员不应当有备份服务器的权限。
4.从空间维度降低攻击面
通俗地说,系统中运行的软件越多,攻击面就越广,对外提供服务的软件应当分别运行于不同的服务器上。
哈工大电脑110俱乐部出品