预防勒索病毒就这十招!
近期,勒索病毒再次卷土重来,我们技术部接到不少用户的求援,反馈服务器或电脑中毒,大部分的文件(包括最重要的数据库文件)都被加密并改名(文件名被强制增加各种五花八门的后缀),导致所有业务系统都无法正常运行。由于勒索病毒的变种迭代更新频繁,以至于中招后要么无解,要么必须付出巨额资金去修复,数据丢失的代价实在惨重,中招的用户直呼“太恐怖”!
在这里我们要再次呼吁一下,没有中招的用户切莫大意,预防措施一定要做到位,否则等到勒索病毒找上门的时候就后悔晚矣!
真实案例分享
广州某医药连锁公司近日向我们技术部求援:前台无法打开『流通之星』ERP系统。在我们技术员远程协助后发现,用户前台电脑上收银系统的文件结构正常,但是无法连接服务器的数据库,遂让用户检查下服务器上的情况,发现服务器上的大部分文件名,都被强制加上了C1H的尾巴,这是明显的中了勒索病毒的症状,如下图用户所拍照片所示:
经过我们工程师的研究判定,该服务器是中了GlobeImposter勒索病毒的最新变种,目前国内外的安全防护厂家都还没有针对该勒索病毒的最新变种提供解密工具。
由于用户之前没有重视信息化安全,所以数据也没有做好备份工作。数据库被勒索病毒加密了,就意味着用户经营多年的数据全部丢失。而近期用户又要GSP认证,有可能连GSP认证都无法通过,届时店面将无法开展营业,后果不堪设想!
面对被勒索病毒加密的数据,摆在用户面前的只有两种选择:
1、向黑客缴纳赎金;
2、找专业的数据恢复公司尝试解密。
权衡利弊之后,用户还是选择了第二个方案,虽然将第三方数据恢复公司在收到数据库文件后,确认能抢救回数据的成功率高达90%,但也必须付出高额的劳务费用,并且即使恢复后也不能保证数据库中是否还存在数据丢失的情况。即便如此,用户也只能默默接受。
上面的案例是真实存在的,它就发生在我们的用户群体里,并且已经有多起这样的事故发生,数据丢失的严重后果,让人触目惊心!
勒索病毒简介
说起勒索病毒就不得不提2017年5月WannaCry利用“永恒之蓝”漏洞肆虐全球的事件,也是从这个时间起,人们才真正听说、了解、认识到相比传统的病毒木马,“勒索病毒”才是真正令人谈“毒”色变、防不胜防的攻击手段。
直至今天,各类新增的勒索病毒和变种依旧层出不穷,入侵方式也变的多种多样。
预防方案
我们整理了一份预防勒索病毒预防加固方案供广大用户参考,希望大家能对数据安全这个课题认真对待,同时也根据方案检查下自家的整套IT基础架构是否存在各类安全隐患,有则改之,不要给勒索病毒留下任何入侵的机会。
整套预防方案主要针对服务器和网络这两部分共10个方法展开,具体如下图所示:
(点击图片可放大观看)
(一)、服务器
作为企业信息化业务系统的核心,服务器的安全是重中之重。但我们发现有一些用户,也许是出于节约成本的原因,现在仍然在使用普通的电脑充当业务系统的服务器,这样其实是存在着巨大的风险的。
我们知道,专业的服务器是专门用于7*24小时不间断运作的,所以服务器里面的所有部件,都是针对这一场景进行设计研发生产的,因而服务器的质量和寿命要比普通电脑强很多,一般用个5到10年都是不成问题的。
而且专业的服务器最核心的地方在于可以支持磁盘阵列,通过磁盘阵列,可以将数据存储到多个硬盘中做冗余处理,哪怕其中一个硬盘出现物理性故障,只要及时将坏掉的硬盘换新就能继续同步数据,这样是不会影响到服务器的正常运作的。所以专业服务器在安全性和稳定性上,普通电脑是难以望其项背的,即使现在有些高端的电脑主板也开始支持磁盘阵列了,但基本上也都是基于软件算法去实现的(俗称软阵列),其性能和安全性根本无法得到保障。所以当您想通过普通电脑代替服务器以节约成本的时候,请牢记一点:设备有价,数据无价!
另外还有部分用户,虽然已经购买了专业的服务器,但是在使用上也存在误区,他们觉得这台服务器就是一台价格贵一点的电脑而已,平时还会拿服务器来办公、上网等。其实这本身就是一种资源滥用,同时也给服务器带来了各种安全隐患,因为我们操作电脑的时候有时候难免会出现一些误操作,导致电脑中毒、重要文件被误删、系统崩溃等,而这样的事情如果发生在服务器上,后果不堪设想。所以尽可能地,就让服务器静静地呆在机柜或者机房里,让它去专心地做好业务系统的支撑服务工作就好。
下面就围绕服务器的安全防护提出我们的几点建议:
1、杜绝弱口令密码
将服务器操作系统的登录密码复杂化并保管好,千万不要为了方便就把Administrator账号的密码设置为空,同时最好能做到定期修改密码,这样可以有效杜绝病毒通过远程的方式入侵。
2、及时修复系统相关安全漏洞
首先,服务器操作系统的选型,尽可能使用版本更新的操作系统,像Windows Server 2003 R2和Windows Server 2008 R2都是比较老的操作系统了,生命周期已经或即将结束,微软在这些产品生命周期结束后也不会再提供漏洞修复支持了,那么这些操作系统的安全漏洞肯定就比较多。
其次,即使服务器使用最新版本的Windows Server 2019,也必须及时打好补丁修复漏洞,不要把系统自带的自动更新功能关闭。
3、安装安全防护软件
虽然Windows本身有自带了防火墙,但是相对比较弱鸡,这个时候我们可以搭配安全系数更高的第三方防火墙来为服务器保驾护航,这里我们建议用【火绒安全软件】。在当下浮躁的软件市场,【火绒安全软件】就是一股清流,它不像某数字安全管家、某鹅厂的电脑管家和某山卫士一样,为了一些利益经常无故自动为电脑安装各种杂七杂八的软件,同时也不会老在桌面上弹出那些乱七八糟的弹窗广告。相反,安装好火绒之后,它就静悄悄地躺在系统托盘的角落里,像一个隐世高手,平时根本感觉不到它的存在,但是它一直在背后默默守护着服务器的安全,还能将所有的弹窗广告进行拦截屏蔽,这样的良心软件绝对是有口皆碑的典范。
在这里要提醒的一点事,在安装好各类安全软件后,建议将『流通之星』的安装文件夹添加到安全软件的信任白名单中,避免软件被误判为病毒遭到误杀。这里以【火绒安全软件】为例进行演示:
4、禁止网络共享
在服务器上开通Guest来宾账户和网络共享,无疑就是在为勒索病毒的入侵打开了一个后门,所以必须禁止Guest来宾账户和关闭Windows默认共享和共享服务。
(1)、禁止Guest来宾账户的方法:
这里以Windows Server 2008 R2为例进行演示:
(2)、关闭Windows默认共享和共享服务的方法:
关闭Windows默认共享设置的方法很多,这里以Windows Server 2008 R2关闭Server服务的方法来举例:
打开运行窗口,输入services.msc,点确定,右侧找到server服务选项,双击它,先点击【停止】按钮,再将启动类型改为【禁用】。
5、修改常用服务端口号
一般服务器上比较常用的服务主要是远程桌面和SQL数据库,其他的服务包括Web、FTP等,需要根据实际的使用情况进行修改,然后再在【Windows高级防火墙】里面做对应的准入放行规则,这样可以大大提高服务器的安全防护级别。这里就以远程桌面为例进行相应的介绍。
远程桌面是勒索病毒渗透入侵的主要手段,如非必要,请不要在公网上直接将服务器的远程桌面端口进行开放(默认为TCP协议的3389端口),要开放前将服务器的远程桌面默认端口号进行修改。
这里我们提供一个小工具——【远程桌面端口一键修改】,只需填写您想修改好的端口号,然后确认后重启下服务器就好了。这个小工具在修改好端口号后,还会将该端口号自动添加到Windows高级防火墙里面的准入规则,可以帮您省去了自己添加防火墙规则的麻烦。
另外,关于SQL的端口号修改请百度搜索一下,这里不再介绍。
6、启用防火墙
(1)这里以Windows Server 2008 R2为例,演示如何打开【Windows防火墙】:
(2)开启防火墙后,针对需要开放的端口。可以在高级Windows防火墙的入站规则中添加相应的端口准入规则。对于『流通之星』的用户,也可以使用我们提供的【添加防火墙入站规则】小工具,操作更方便。
(3)对于勒索病毒最喜欢的几个端口,我们还提供了一个【预防勒索病毒加固工具】,一键操作就可以将几个高危端口进行禁止。
7、数据备份
信息化系统的业务数据,它的重要性对于企业来说不言而喻,前面我们铺垫了那么多安全防护的方法,最终的目的,就是为了要保护好这些业务数据,那如何做到万无一失呢?那就是数据备份!只有做好数据备份工作,我们才能提前对未知的安全隐患进行隔离。鉴于业务数据对于企业用户的重要性,所以再怎么强调数据备份的重要性都不为过。在这里我们也将常见的几种数据备份方法提供如下:
(1)本地备份
通过SQL数据库自带的自动作业系统,定时将业务系统的数据库备份到服务器的某个指定的专门用于存储数据库备份文件的文件夹,例如可以设置为每天的凌晨2点进行自动备份(和正常办公时间错开)。
(2)异地备份
不定期将上面步骤备份好的数据库文件,复制到专门用于存储备份数据的移动硬盘或者其他的服务器、电脑上进行异地备份,这样做的好处是,万一服务器出现物理性故障的时候(主要是硬盘出现故障的时候),我们手里还有额外的备份。
这里需要注意的一点是,如果是使用移动硬盘进行备份电话,切记不要为了图省事,就将移动硬盘一直插在服务器上,因为如果服务器中毒了,会第一时间感染到服务器上的所有硬盘分区,移动硬盘也不能幸免。所以备份好数据后就得把移动硬盘从服务器上拔掉。
(3)云备份
有了本地备份和异地备份后,还有一个加强版的云备份。云备份可以说是异地备份的升级版,毕竟异地备份用的移动硬盘也好,其他服务器或电脑也好,相对安全系数还不是特别的高。极端情况下,万一用户所在整个局域网都中了病毒,那么有可能存储备份数据的另外一台服务器或电脑也很可能一起沦陷。这个时候我们就可以考虑启用云备份。
云备份可以分公有云备份和私有云备份。
公有云备份就是购买百度企业网盘、阿里云网盘、坚果云等互联网云存储服务,然后将备份好的数据备份到这些互联网云存储服务上;
如果您对业务数据传上公有云有隐私方面的考虑的话,那可以选择私有云备份,像上面第二点提到的,将备份好的数据库备份到其他服务器或电脑上其实也算私有云的一种形式。但在这里我们推荐使用一种更专业的方法,就是在局域网内搭建NAS进行私有云备份。
NAS是什么?NAS是网络附属存储的意思,实际上就是连接至网络的存储设备,通过NAS来备份数据的好处是显而易见的,它占用空间小、耗电量低,关键是它能和服务器一样支持磁盘阵列,24小时不间断工作,以至于很多时候我们会忽略它的存在,但它就静静的在那个角落里默默地为我们充当数据财产的保险箱。目前市场上比较知名的NAS设备有群晖、威联通等品牌可以选择。使用NAS来备份数据,数据的安全系数将更上一层楼。
8、日常使用规范
不管是服务器还是电脑,在我们的日常使用过程中,遵循以下操作规范,也能让您尽可能地远离那些病毒、木马、牛皮藓广告等。
(1)、外接存储设备需谨慎
对于一些未知的外接存储设备,例如U盘、移动硬盘等,能不用就尽量不用,因为我们不清楚这些设备里面是否潜在病毒和木马。
(2)、从正规渠道下载安装软件
如果需要在服务器或电脑上安装一些软件的话,尽可能到软件所属的官网下载安装,或者到正规的软件分发网站下载安装(例如腾讯软件中心,但是下载的时候别选高速下载,选普通下载就好,否则下载到的不是你要的软件安装包而是腾讯电脑管家的安装包,腾讯的套路……),以防止在一些未知是否安全的网站上下载到不安全的软件。如下图所示:要谨防在一些网站上下载的恶意安装文件:
通常文件图标如上图所示且文件名中带@的安装文件,都是一些带有恶意软件的安装包,运行后会在电脑上安装一大波莫名其妙的软件,并时不时弹出各种不堪入目的牛皮藓广告。
(3)、不要随意浏览网站
互联网上的很多钓鱼网站、恶意网站已经为您埋下了好多的大坑,随时恭候您的大驾光临。
(4)、不要打开来历不明的邮件
这是一个垃圾邮件满天飞的年代,如果您看到一些可疑的邮件,千万不要打开,特别是邮件中的附件,它们就是病毒木马的最佳载体。
(二)、网络
1、启用VPN
什么是VPN?VPN是虚拟局域网的意思,通过部署VPN进行异地组网,可以将总部和所有门店虚拟为同一个局域网下面,这样门店和总部的服务器进行数据交换的时候,就不需要通过域名或者公网IP地址来访问,也就规避了服务器直接暴露在互联网之下的风险。
当前市场上的VPN产品,按部署的载体来区分主要有软件VPN和硬件VPN两种方案,这里也简单介绍一下:
软件VPN:部署方式简单,只需要安装软件客户端,然后借由厂家的服务器资源进行VPN隧道连接,从而实现多个不同的网络进行虚拟组网。软件VPN由于需要用到厂家的服务器资源,所以大多是按年和按站点租赁的,属于长期投入,前期投入费用较低,但需要每年都进行付费,如果门店较多的话,每年也是一笔不小的开支。
硬件VPN:和我们常见的路由器一样属于一次性买断的设备,分别部署在总部和所有分支机构的网络里,一般都支持网关(替换掉原来的路由器)和桥接(级联在路由器下)的方式去部署,视企业网络规模的实际情况选择对应规格的产品型号进行选购,价格相对软件VPN高点,但是性价比更高,维护也方便。需要注意的是,由于运营商现在加紧公网IP地址的回收,所以从产品的使用周期考虑,建议选购带云功能(能穿透没有公网IP地址的网络环境)的VPN硬件产品更合适。
2、慎做端口转发
通过部署VPN之后,由于无需将服务器开放,所以也不需要在网络出口处做端口映射和DMZ的规则。但对于没有部署VPN的用户,只能限制端口映射和DMZ的设置,尽量不要将常用的端口映射出公网,更不要将服务器设置为DMZ。
结论
通过上述安全加固方案的落实,我们已经为服务器和网络环境建起了一条护城河,数据安全防护等级得到了极大的提升,这也就大大降低了被勒索病毒找上门的风险。在此我们也再次呼吁所有用户能认真切实地对待信息化安全并把实际方案落实到位,不给勒索病毒留下可乘之机,以免中招后再来亡羊补牢。
最后,分享知识是一种美德,如果您喜欢这篇文章并且它对您有所帮助或有所启发的话,希望您可以把它分享出去,让更多人行动起来,一起拦截勒索病毒,谢谢!
附:本文中所提供的3个小工具,点击下面的链接下载: