跳至主内容

防范勒索软件

本节介绍如何保护计算机免受勒索软件攻击。

勒索软件是一种恶意程序,旨在封锁计算机访问权限,直至向攻击者支付赎金。著名的勒索软件包括CryptoLocker、CryptoWall、WannaCry和Petya。

通常,加密型勒索软件会使用随机生成的密钥对(与受感染计算机关联)加密本地文件。公钥被复制到受感染计算机上,而私钥仅能在限定时间内支付赎金获取。若未按时支付,私钥将被威胁删除,导致被锁文件永久无法解密。

最常见的感染途径是通过正规网站上的恶意广告进行路过式攻击,但也存在通过下载受感染应用程序传播的情况。

通过以下最佳实践可有效限制甚至预防勒索软件感染:

  • 使用持续更新且支持主动扫描的防病毒解决方案

  • 定期备份文件(本地或云端存储),确保数据损坏时可恢复

  • 遵循安全上网规范:避免访问可疑网站、不点击不明来源邮件链接/附件、不在公开聊天室或论坛透露个人身份信息

  • 启用广告拦截功能和反垃圾邮件过滤器

  • 虚拟化或彻底禁用Flash(因其常被用作感染媒介)

  • 培训员工识别社会工程学攻击手段及针对性钓鱼邮件

  • 启用软件限制策略。系统管理员需通过组策略对象强制写入注册表,以阻止从特定位置运行可执行文件。此功能仅在运行Windows专业版或Windows服务器版时可用。 软件限制策略 选项位于 本地安全策略 编辑器中。点击 新建软件限制策略 按钮(位于 其他规则 下方)后,应配合 不允许 安全级别使用以下路径规则: 

    - "%username%\\Appdata\\Roaming\\*.exe"
      - "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
      - C:\\\*.exe
      - "%temp%\\*.exe"
      - "%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
      - "%userprofile%\\*.exe"
      - "%username%\\Appdata\\*.exe"
      - "%username%\\Appdata\\Local\\*.exe"
      - "%username%\\Application Data\\*.exe"
      - "%username%\\Application Data\\Microsoft\\*.exe"
      - "%username%\\Local Settings\\Application Data\\*.exe"
    9025_1.png

  • 通过对WAN IP地址进行端口扫描,识别外部暴露的网络系统。确定哪些网络系统在这些暴露端口上启用了端口转发。

  • 加固以下网络协议:

    • SSH :不应授予root访问权限,且应通过证书而非用户名进行认证。仅允许一两名管理员访问SSH。

    • FTP :避免使用存在漏洞的FTP服务器。避免以 Anonymous 用户名且不输入密码的方式登录。

    • RDPSMB :禁用默认用户账户(如 AdminAdministrator ),仅允许有限数量的用户连接。

    • VNC :请勿使用VNC进行远程桌面连接。

    • HTTP :

      • 切勿使用弱密码或默认凭据。

      • 定期扫描已安装的Web服务(Django、Python、Java、PHP、WordPress)是否存在漏洞。

      • 确保用户无权更改网站的任何设置。

  • 检查物联网设备或其他网络设备(如监控摄像头、NAS服务器、路由器)是否存在弱密码、易受攻击或过时的软件、脆弱的网络协议等漏洞。

  • 在全公司范围内强制实施双因素认证(2FA),包括操作系统。

  • 持续监控网络日志中的外部连接请求,并在防火墙中拦截这些IP地址。

  • 用户应仅能访问其所需的资源。授予资源写入权限时需特别谨慎。

  • 根据业务需求限制对网络共享文件夹的访问。

  • 禁用管理共享。

  • 网络管理员应实时监控系统是否存在可疑行为(如CPU使用率过高)。

  • 阻止对 wevtutil.exevssadmin 的访问,以防止用户删除系统日志或系统备份。

实施针对勒索软件的主动防护措施

采取主动防护措施,例如在 拦截 , 拒绝 清除 位于 GravityZone > 策略 中的威胁,以防范现代安全威胁。

以下列出需要启用的模块列表。请确保手动启用这些模块并保存设置,因为策略中默认未启用某些模块或功能。

注意

请注意部分模块可能不属于您当前的配置。

  1. 前往 反恶意软件 > 执行时检测 并按以下步骤操作:

    1. 启用 基于云端的威胁检测 , 高级威胁控制 , 无文件攻击防护 勒索软件缓解 模块;

    2. 防篡改 中将默认操作设置为 拒绝访问 .

    3. 超级检测 中确保 操作 设置为除 仅报告 .

  2. 前往 沙盒分析器 并启用 从托管终端自动提交样本 .

    1. 修复操作 部分,确保在 默认操作 下拉菜单中选择 修复 移至隔离区 操作已勾选。

  3. 启用 防火墙 模块。

  4. 转到 网络保护 并按照以下步骤操作:

    1. 常规 部分启用 拦截加密流量 , 扫描HTTPS 扫描RDP 选项。

    2. 网页保护 部分,请转至 反钓鱼 模块并将 可疑网页的默认操作 设置为 阻止 .

    3. 启用 网络流量扫描 部分。

    4. 网络攻击 部分中,转至ATT&CK技术并将所有操作设置为 阻止 .

  5. 启用 事件传感器 模块。

联系 Bitdefender企业支持 当感染勒索软件时

若您在遭受勒索软件攻击后需要文件恢复帮助,可联系 Bitdefender企业支持 .

Bitdefender 将进行分析,识别勒索软件类型,并尝试为您提供解密工具。

请注意,针对特定勒索软件子类型开发解密工具通常是一个耗时长且成功率低的过程。但如果我们成功开发,将确保立即在 Bitdefender 实验室 页面上发布。

为了尽快开展全面调查,请提供以下信息:

  • BDSysLog 。了解如何创建 Bitdefender 系统日志 此处 .

  • 支持工具日志 。了解如何创建支持工具日志 此处 .

  • 加密后生成的 勒索信(通常为.txt文件)。

  • Windows事件日志 。这些日志位于 C:\Windows\System32\Winevt\Logs .

  • 若干加密样本 (如可能,请提供加密与未加密的成对文件)。

  • 攻击事件发生的 预估日期和时间。

  • 其他 您认为相关的攻击信息。

建议措施

在反恶意软件团队恢复加密文件期间,您应从备份中恢复基础设施内的系统。

遭受攻击后请立即执行以下应急措施:

  • 修改所有用户密码。

  • 将非必要管理员账户降权为普通账户。

  • 禁用管理共享。

  • 仅允许需要远程访问的终端使用RDP连接。

若我们能够恢复加密文件,您需要:

  • 在保持加密文件和勒索信原始位置不变的前提下,恢复整个基础设施以便运行解密程序。

  • 通过将加密文件和勒索信备份转移来恢复操作系统,以便我们在备份环境中运行解密程序。

若不幸无法恢复加密文件,您应从备份中还原系统基础设施。

遭遇勒索软件攻击时可采取的其他措施

  • 若网络中虚拟机受感染且攻击持续,需立即隔离该虚拟机、暂停运行、强制关机或注销用户。

  • 密切留意勒索软件攻击的典型特征——其进程会持续占用大量CPU资源。

  • 重点关注网络用户行为,攻击者冒充的用户会表现出异常活动。

  • 可配合勒索软件防护应用使用定制程序,该程序将:

    • 当某进程占用过高CPU资源(>70%)时自动关闭系统。

    • 向IT管理员发送CPU过载警报,包含占用资源的应用名称及所属虚拟机信息。

    • 当防护产品失效时关闭系统(未在机器上运行——最新安全内容更新超2小时未执行或主进程 epsecurityservice.exe 未运行)。

    • 禁止除常用应用外所有程序的执行。

本节内容 :