勒索病毒防护解决方案

勒索病毒立体防护解决方案未雨绸缪防护先行12345勒索病毒特点勒索病毒攻击方式勒索病毒破坏后果勒索病毒立体防护方案用户收益目录CONTENTS自2017年5月起，一种名为“想哭”的勒索病毒袭击全球150多个国家和地区，勒索病毒从爆发到现在一直处于不断进化，各种变种层出不穷，持续处于活跃的状态。勒索病毒严重影响包括政府部门、医疗服务、教育系统、互联网、公共安全、邮政、通信及各种企业和个人。勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。勒索软件（Radsomware）是通过网络勒索金钱的常用方法，它是一种网络攻击行为，可以立即锁定目标用户的文件、应用程序、数据库信息和业务系统相关的重要信息，直到受害者支付赎金才能通过攻击者提供的秘钥恢复访问。勒索家族变种、传播方式层出不穷，所谓你方唱罢我登台。Relec勒索病毒、DeadRansomware勒索病毒、Saturn勒索病毒、GandCrab勒索病毒勒索病毒特点(1)RDP爆破：黑客首先RDP爆破其中一台主机，成功获取到该主机的控制权，上传黑客一整套工具，暴力破解密码(2)发送垃圾邮件,附加恶意链接或邮件附件，用户通过Word宏等加载PowerShell下载(3)感染相关网站，让访问用户下载捆绑有恶意程序的更新程序或正常软件(4)利用RigEK、GrandSoft、FalloutExploit等漏洞利用工具包，通过无文件方式PowerShell、JS、VBS等脚本释放加载(5)通过恶意下载器下载勒索病毒，不明的下载工具传播(6)通过U盘感染，U盘随意使用，内外网混用等，易于传播病毒勒索病毒攻击传播方式勒索病毒攻击破坏后果加密算法无解被勒索病毒加密后的文件，被解密的可能性很小，主要原因是勒索病毒通常采用RSA256或RSA4096等高强度非对称算法，不可逆向运算。除非满足以下条件目前勒索病毒解密文件无非通过以下种方式解密：1.黑客良心发现，主动公开密钥（例如前年的Tesla病毒）2.被国家网安部门追查、抓捕到黑客服务器或黑客本人，公开解密密钥。3.网络安全公司分析勒索病毒自身漏洞破解加密文件4.地下黑产解密（某宝或网络推广）5.给黑客户支付赎金勒索病毒对用户的信息系统和信息资产伤害巨大•一旦用户有系统和信息资产中了勒索病毒，其常见文档文件数据会被加密，无法正常使用，并且勒索病毒有极大的可能会在网络传播，给用户造成不可挽回的损失。另一方面，勒索病毒利用成本越来越低，而收益相对较高，在黑市上只要数百元便可以获得一个勒索病毒，但勒索成功一次就可以获利数千元，甚至数万元。案例一：•感染勒索病毒“wannacry”，台积电损失17.4亿元案例二：•福建某上市公司的服务器被勒索病毒Ransom/Bunnyde入侵，导致该企业核心的ERP（财务系统）数据库被加密，向病毒团伙支付了数万人民币赎金后，获得密钥恢复了数据。该病毒是利用垃圾邮件和漏洞等方式传播。案例三：•全国三甲医院中，18年就有247家医院检出了勒索病毒，全国各地均有三甲医院“中招”，其中，以广东、湖北、江苏等地区检出勒索病毒的医院数量最多。医院遭到勒索病毒攻击后包括病历资料、医药价格等许多重要的数据库文件都被病毒加密破坏，医院出现系统瘫痪状况，患者们无法正常就医，医院大厅一时间人满为患。勒索病毒攻击破坏后果勒索病毒立体防护解决方案01010110101010101010110101010101010110101010101010110101010101010110101010101010110101010101010110101010101010110101010101010110101010101010110101010101010110101010101010110101010101010110101010101010110101010101010110101010核心业务数据封禁不需要的端口3389/135/137/139/445端口的连接;开启IPS功能和防病毒功能下一代防火墙上网行为管封禁不合规的下载软件及非法不良网站防止勒索病毒通过邮件传播WAF防火墙反垃圾邮件保护核心网站不被黑客利用及破坏漏洞扫描及时发现系统漏洞并更新防护补丁终端安全防止非授权人员对核心系统的非法操作及对日常运维配置审计堡垒机备份一体机日志审计对电脑终端病毒进行查杀防护，同时限制不安全U盘的读写记录核心设备运行日志，分析追溯安全事件重要系统和数据的离线备份，确保重要数据不丢失勒索病毒立体防护解决方案教育城域网数据中心交换机数据中心区运维管理区路由器综合运维管理日志、审计系统安全防御管理区多业务无线控制器堡垒机下一代防火墙&入侵防御系统上网行为管理WAF防火墙+防篡改软件日志审计无线认证网络核心区汇聚交换机无线管理区网络接入区互联网备份一体机核心业务系统前端摄像头接入交换机有线和无线融合有线和无线融合有线和无线融合用户终端漏洞扫描终端安全系统监控机房IP广播监控平台拼接屏拼接屏全面封锁勒索病毒、黑客攻击的传播渠道、系统漏洞；能够检测出病毒传播和黑客攻击全过程，形成全攻击链检出能力；可发现APT攻击行为、勒索软件行为、僵尸网络等异常的网络行为；可监测自助终端的安全合规态势，并可对仿冒接入等异常行为和APT攻击等恶意行为进行预警和控制，从原来的被动防御转为主动防御；等保合规，符合国家对等保建设的要求；确保重要数据在被加密锁定的情况最大限度的恢复受攻击前状态勒索病毒立体防护方案用户收益汇报完毕感谢观看系统集成@