本
文
摘
要
在过去的2019年,网络安全界发生了几起严重的“勒索”病毒攻击。该病毒的攻击原理大概通过主要是通过弱口令,钓鱼网站攻击,利用服务器或者软件漏洞,甚至是端口盲扫(portScan),密码字典暴力绿色等等手段获取对C$,IPC$等等共享盘符的访问控制权限,然后在其中植入以exe、js、wsf、vbe等类型为主的勒索病毒文件。待勒索病毒文件进入本地后,就会根据黑客事先设定自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒会利用本地的互联网访问权限连接至勒索者的C&C服务器,进而上传本机信息并下载加密私钥与公钥,文件会被以AES+RSA4096位的算法加密。除了病毒开发者本人,其他人是几乎不可能解密的。加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金,即必须支付勒索资金,才能拿到解密的私钥,或者选择丢失文件。勒索病毒变种类型非常快,对常规的杀毒软件都具有免疫性。这些攻击虽然大多是针对服务器发起的——因为这其中包含很多黑客感兴趣的用户资料,数据库数据以及各种有价值的企业信息。但是也有个别对个人PC发起的攻击。而且,hacker非常聪明,专门挑选在下午七点到次日六点左右的时间对服务器或者用户发起攻击——一般这个时候服务器管理员的警惕性较低,个人PC大多也处于无人操作的状态。
黑客如此缜密、高强度的攻击,看似防不胜防,没有什么绿色的方法。实则不然,黑客能够发起攻击,其根本原因还是因为这些服务器或者个人PC存在漏洞。所以,我们想要避免这类攻击,要从源头上也就是漏洞本身出发。
hacker
前面说到黑客是通过暴力绿色C$、ipc$等等共享盘符,获取对它们的控制访问权限,然后悄悄地在这里面植入勒索病毒文件。看到这个,相信聪明的各位应该知道怎么办了——关闭这些不必要的共享服务。相信对计算机有一定了解的人的知道:应用为我们提供服务,都需要开启相关的端口。因此查看直接PC是否关闭了这些服务,可以通过在开始栏目下输入“cmd”,打开命令行窗口,然后使用“netstat -p -as”这条命令进行查看,将会出现如下显示界面。
通过查看本地地址冒号后面那些数字判断是否有445
共享服务的端口是“445”。如果没有出现445,那么放心好了,没有这个漏洞,黑客要是还能用勒索病毒攻击你,除非是采用了物理手段或者熟悉社会工程学。如果发现这个服务没关,也不要慌张,还是在开始窗口输入“services.msc”,将会出现图一这个界面,然后搜索找到“server”服务,点击启动类型,会弹出图二这个设置界面,选择“禁止”即可。
图一:服务较多,可以通过直接输入s方式定位查找
图二:启动类型里面选择“禁用”
第二个方法比较麻烦,而且需要花费一些小钱钱,一般是企业级防御手段。这里不推荐大家采用。购买三级防火墙,并且请专业人员配置“入站规则,安全策略”,有时候甚至需要清洗服务器恶意数据。我们个人使用的PC一般装载有防火墙,虽然功能相对较少,但是有一定基础或者网络安全意识的条友也可以尝试着设置规则,写策略等等。这可以在防火墙“高级设置”里面找到。
自己可以基于端口,特定程序等等进行入站流量规则编写
PS:梦马的金大虎子,一个热爱生活,酷爱科技,对计算机硬件和网络通信、网络安全测试和数据渗透有一定了解的优质科技领域创作者。同时,作为一名重庆大学生,我时不时还会分享重庆本地的美食、美
