又来!?没完没了的勒索病毒,我们教您如何抵御

席卷全球的勒索病毒在2017年成为数据安全界的热门关注,当时很多安全公司预测,勒索病毒不会死去,只会不断地变相繁衍,成为未来危害用户数据安全的一大重点。

 

勒索病毒,黑客

 

今年开年上班我国就已经出现2例造成恶劣影响的勒索病毒事件:

 

2月23日,湖北襄阳南漳县人民医院系统中勒索病毒。

23号上午上班时,住院部医生发现,原来只能联内网的电脑可以上外网了;

药剂师发现,因系统瘫痪录入在电脑中的药价等数据不见了;

还有医生发现,存储在电脑中的病例也消失了,导致无法正常就诊。

黑客要求医院支付比特币(约30万元人民币)来恢复数据。直到24日11:00医院才恢复正常就诊。目前医院虽然已经建立一个新系统,但之前的数据尚未恢复。 襄阳市和南漳县警方也正全力侦破该案。

 

2月24日7:00,湖南省儿童医院服务器中勒索病毒,服务器内所有数据文件被强行加密,黑客要求在6小时内支付1个比特币。

医院大厅内抽血自助取号机等设备大部分处于关闭状态,仅有的开机设备屏幕上显示数据库连接失败。挂号、收费、办卡服务台上,不停有人询问是否可以挂号、缴费,人满为患。

 

医院勒索病毒
 

其实,勒索病毒从未停止过活跃度。。。

1月3日,一款名为Ripid的勒索软件快速传播,ID-Ransomeware的统计案例已达300多个,但这只是受害者的一小部分。Ripid病毒扫描计算机文件进行加密,当文件完成加密,文件名被添加.rapid拓展名。每个文件夹中会创建“How Recovery Files.txt”的提示文件,让受害者联系如何进行付款。

 

勒索病毒,ripid勒索软件

 

1月15日,安全研究组MalwareHunter发现Mindlost勒索软件的第一批样本,目前,该样本并未大量主动分发,但后续可能会有新版本及变种出现。

 

勒索病毒,mindlost 勒索软件

Mindlost支付页面,目前已无法访问

 

1月29日,GandCrab病毒来袭,它是第一个要求支付达世币的病毒,GandCrab通过一种名为Seamless的恶意广告软件进行传播,然后通过用户系统中的软件漏洞安装GandCrab。安装成功后,受害者可能不会意识到他们被感染了,直到为时已晚。

 

勒索病毒,GandGrab勒索软件
 

所以现在我们应该学到:目前还没有非常有效的勒索病毒解决方案,勒索病毒黑客们已经尝到了甜头,他们会继续让病毒蔓延生长。因此我们了解如何保护计算机免受病毒威胁非常重要。

下面,我整理了一些勒索病毒的预防方法,对使用计算机的您非常有帮助。文章还很长,建议多一些耐心,或先收藏,在时间允许的情况下阅读。

 

一定要备份!

备份!这绝对是为保护数据不被加密而要做的最重要操作。如果你有最新的备份,被勒索病毒感染后,您可以删除感染,然后从备份中恢复,这听起来非常简单。  

但!不幸的是,仅添加一个额外的硬盘用于备份是不够的。我们无法判断勒索软件将加密计算机上的哪个驱动器,包括映射的网络驱动器,或是未映射的网络共享,所以本地备份也有被攻击的风险。

这里,强烈建议您制定一个良好的备份策略。 您可以:

1. 云备份。由于云备份不以盘符形式映射到计算机,因此云备份可以安全恢复文件。  

2. 物理备份。如果您不想使用云备份,而希望本地存储备份,请确保在备份之后断开存储设备连接,或将备份计算机隔离,使其无法进行网络共享。

对企业用户来说,员工存储在电脑上的文件保护措施可以是在企业内部搭建云盒子云存储服务器,员工通过云盒子来浏览、修改、共享文件,而不是依赖于本地操作。在云盒子搭建后,通过备份云盒子服务器中的数据来达到保护所有员工工作文件的效果。

 

安装防病毒工具

确保在计算机上安装了可靠的防病毒软件。建议您安装包含行为检测功能的产品,以便检测出勒索软件感染(即使是全新的病毒感染),当病毒试图加密数据时将其停止。

 

始终更新操作系统 和应用程序

由于很多勒索病毒感染是通过系统漏洞,利用工具的脚本安装完成的,它们针对的是操作系统中的漏洞,所以如果您的操作系统提示有更新,请立即更新。很多更新是安全更新,可以保护您的计算机免受漏洞的攻击。

就像操作系统漏洞一样,病毒会针对计算机上常用程序(例如Java,Adobe Flash Player,Adobe Reader等)的漏洞进行攻击。因此,也请保持程序的更新。 

 

设置垃圾邮件过滤器不打开未知邮件附件

勒索软件最常用的入侵方法是通过垃圾邮件。如果您没有使用垃圾邮件过滤功能,那么病毒电子邮件可能会潜入。当勒索软件通过垃圾邮件发送时会把感染程序作为附件。因此,不要打开未知的邮件附件。下面举一个勒索软件附件的例子:

 

勒索病毒,邮件附件病毒

带附件的Locky Ransomware垃圾邮件

 

如果您确实犯了打开未知附件的错误,并且看到一条警告:“您应该点击一个按钮来启用宏或启用内容”,请勿点击,因为它只会下载并安装勒索软件。

 

勒索病毒,邮件附件病毒

启用内容按钮

 

启用查看扩展

不显示文件的扩展名会诱使用户认为可执行病毒文件实际上是正常的Word,Excel或PDF。打开文件则是运行了恶意软件的安装程序。下面是同一份文件关闭和启用扩展名的示例:

勒索病毒,启用不关闭文件扩展名

关闭拓展名,你可能会认为它就是PDF文件,其实它是可执行程序

 

小心互联网的下载内容

互联网文件中可能隐藏着勒索软件,现在很多广告软件包捆绑着勒索软件,在下载程序或安装插件时,即使是您信任的站点也要万分小心。GandCrab就是通过这种方式进行感染的。就在2月12日,一位程序员在浏览他信任的站点“北京大学校友网”时,弹出需要下载插件。

 

勒索病毒,GandGrab勒索病毒,GandGrab勒索软件
 

出于信任,他直接下载了。没有一丝丝防备,他就这样中招了。

 

勒索病毒,GandGrab勒索病毒,GandGrab勒索软件

桌面上所有文件图标都印上一只绿色变色龙,文件名多了.GDCB后缀。

 

使用复杂密码

您可以使用强密码来保护您的计算机免受未经授权的访问,目的是增加攻击者的破解难度。不要使用像12345这样简单的密码,而是使用一个像1 $!2M849dy1%包含英文大小写,数字,符号的复杂密码。 

一些勒索病毒感染是由攻击者登录到用弱密码保护的远程桌面连接安装的,所以,接下来:

 

如果您不需要远程桌面,请禁用它,否则请改端口!

如果您正在使用远程桌面,那么您应该将端口更改至默认端口3389以外的端口。

一部分黑客利用脚本或扫描程序搜索打开了远程桌面计算机,更改端口后,黑客将搜索不到您的计算机。

最后,可能长文会让您觉得这些预防措施很麻烦,但它们的大多数只需要您改变计算机使用习惯或仅是一次性操作,因此请重视,以上的建议不仅可以让您免受勒索软件的攻击,还可以保护您免受几乎所有其他恶意软件的侵害。

 

很多勒索病毒包含了非常高深的技术,让我想起快播王欣在法庭上说了“技术无罪”这句话,技术是好的,但一旦被不法利用,给我们造成的只剩下伤害了。文章最后,插入一句广告:云盒子企业云盘,用最好的技术保卫您的文档数据

 

相关文章: