# 安全
# 勒索病毒怎么破
↑↑↑ 关注广州成文科技公众号,回复‘防勒索’,获取勒索病毒自救和防护指南
# 勒索病毒的前世今生
2017年4月14日晚,黑客团体Shadow Brokers公布“永恒之蓝”工具,该工具可利用Windows系统的共享文件服务漏洞获取系统最高权限。不久后,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯等欧洲国家以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。 此后,wannacry和各种变种的勒索病毒肆虐全球
想必中过招的朋友对下图非常熟悉
# 勒索病毒为什么可怕
我们作为软件服务商,在2017年开始已经碰到非常多起勒索病毒的事件,很多客户由此造成数据丢失,系统停运等各种问题带来的损失无法估量,勒索者通常索取BTC(一种基于区块链技术的电子货币),由于BTC匿名的特点,报案也是无法追溯到作者的。所以我们也剖析了一些勒索病毒原理:
首先攻击者获得权限后,通常采用给快速的对称加密算法对文件加密后,使用非对称加密将密钥进行加密,常用的加密算法RSA、Elgamal等
加密算法和BTC这里不详细说,感兴趣的朋友可以搜索一下相关信息详细了解,总之采用这种加密勒索BTC,以目前计算机的算力不通过私钥解密是不太可能的,也无法通过合法途径报案追溯犯罪者。
我们在17-19年中碰到的勒索病毒案例中发现,勒索病毒为了快速的对系统中所有数据文件的加密,通常对大文件仅加密头部信息通过破坏文件完整性的方式,这种情况下,对数据库实体文件来说是可以通过数据库修复工具进行非加密部分数据的提取从而进行修复。
但在最近我们接到的3起勒索病毒事件请求中,不管多大的数据库文件都被全部加密了,剖析了部分勒索病毒源码发现新的勒索病毒变种几乎都改变了加密机制,变成先快速全盘数据文件加密后,对没有100%加密的文件定时进行逐步加密到100%,也就是如果是在中招后,如果在100%加密之前没有发现和清除病毒,想要恢复文件就只有找作者交赎金这一条风险很高的路可走,这也是我们写这篇文章的原因,希望大家能事先做好防护,事后补救可能为时已晚
# 恢复实例
# 1.通过数据库修复某药企用友U8财务系统数据库
在收到客户反馈后,我们对比了一下有备份的文件和被加密文件,发现这种只是头部数据加密破坏了数据的完整性,所以重装软件也无法附加被破坏的数据库实体文件,如下图
接下来我们通过数据库修复工具,读取加密的数据库实体文件中的表和数据,可以把正式环境数据恢复98%左右
此时这种情况下,距离完全恢复仅一步之遥,这种情况我们询问了客户是否有前一段时间的完整备份,客户反馈完整可用的备份是一个月前的。于是我们通过把一个月前的正常的数据作为对比,两个库对U8中相关的系统参数表/基础资料/总账凭证/固定资产/余额表/辅助账表等逐一进行排查,最终完全恢复了数据,恢复在用友U8中正常使用
# 2.代向勒索者交赎金获取密钥解密(某上市药企WMS系统数据库)
2020年1月份,临近春节假期。一个曾找我们开发过ERP-WMS接口的客户信息部来电反馈仓库系统无法运行,疑似中勒索病毒。经远程验证后确实中了后缀.chch的CrySiSV2家族勒索病毒。数据库修复工具读取账套,数据大部分还是可以修复的。
但经了解客户的情况,数据库实体50多G,WMS系统通过数据库的存储过程和一些配置性xml文件实现的二次开发,程序文件和数据库均未曾做过任何备份。
基于以上情况,如果数据库和配置文件不能100%修复也没有意义,系统还是跑不起来。于是跟客户领导领导沟通后,最终拍板由我们代付BTC赎金,获取私钥解密文件
于是我们联系了勒索信中的邮箱 aquamen@email.tg,用我小学水平的英语简单粗暴的问了多少钱,对方马上有了回复,0.3BTC
0.3BTC大概要多少钱呢,按今天BTC的市值换算了一下,19800,大约两万块
后续往来了很多邮件,过程也略曲折,最后还价到了0.22BTC成交,为了取得信任,作者让我们提供了被加密的小文本文件证明他手上有解密私钥(这步很关键,如果对方有解密的私钥,一般大概率付费后会提供私钥),以及先提供了btc地址做了个0.01btc付费的测试。
往来邮件:
最终作者发过来了解密私钥程序 ,通过该程序放在加密文件下运行,解密了所有加密文件恢复了系统的运行
可以看到作者来的解密程序,为什么有两个呢,是因为管理员在没有清理病毒的情况下,直接改了文件后缀名,从而被加密了两次,得亏付钱后作者还有耐心多生成了一个ID的解密程序,此次恢复实属万幸
所以切记,碰到中勒索病毒情况一定不要自己去处理,可能造成无法恢复的后果。第一时间应该拔掉网线关机,把硬盘挂载其他系统拷出数据,才有最大可能恢复
# 追溯原因
近几年我们处理过的勒索病毒的情况,都分析了相关日志文件进行攻击溯源,发现普遍(95%)以上都是运维人员安全意识较薄弱,将RDP服务用默认端口3389和默认超管administrator弱密码开在外网,被扫描后暴力破解进入系统。 以下是我司一台在阿里云的服务器临时放开了RDP端口访问的登录日志
可以看出暴露在外网RDP服务无时不刻都有人在挂代理扫描端口,只有中一次密码则立马中招
# 总结
经过多次勒索病毒的处理,简单总结了几点经验,希望对大家有所帮助
- 备份,备份,备份。重要的事情说三遍,特别是要定期做好离线备份
- 网络的分区分域,让攻击限制在局部
- 服务器尽量使用Linux,性能好安全性高,虽然也有针对Linux的勒索病毒,相对难度会更高
- RDP远程桌面不要使用默认端口和默认超管用户,做好网络的权限梳理和基于端口的访问策略
- 定期排查日志和用户管理中记录是否有可疑情况
只要能做到以上几点,基本可以杜绝99%的中勒索病毒的可能,但最后还是要说,安全无绝对,勒索病毒这事儿未来一定会越来越多,说了这么多,还是希望大家保持良好的运维习惯,别中勒索,如需要更详细的自救和防护指南,可长按下方图片关注我们公众号,回复‘防勒索’获取勒索病毒自救和防护指南
成文科技,企业信息化专家 助力企业成长
# 解决方案 | 数据安全-构筑企业信息安全的最后一道防线
# 前言
随着企业业务和信息技术的发展,数据已成为企业的一个重要的资产产生着极其重要的价值,也由此滋生了牟取暴利的黑色产业链,数据泄露事件频频发生,勒索病毒中招有增无减。
例如:
可以看出,不管是大企业遭遇的APT攻击和内部数据泄露,还是中小企业使用外部标准产品0day漏洞无差别攻击,始终威胁着企业的数据安全。 我们作为数据搬运工,肯定不希望手里的砖被黑了。因此为了保障客户数据业务连续性,接下来看成文数科如何解决问题的。
# 需求分析
信息安全的4个方面:设施安全、网络安全、系统安全、数据安全,数据安全本身也涵盖了隐私保密、内容合规等板块。在这里我们只谈数据基本安全,保障好数据存储和备份,就构筑起了企业业务连续性的最核心保障。
安全需求的业务驱动因素主要来自以下三个方面
# 实施步骤
图片
# 盘点企业数据资产并分级分类
根据行业和企业不同,企业所拥有的数据资产也不尽相同。但可以依据一定的因素来评估结合用户调研的结果形成最终的数据分级分类目录。 注意依据的评估因素有:数据丢失对业务的影响范围广泛程度、预估对企业的经济损失大小、可能造成监管罚款、声誉影响等。 以下是成文数科给某医药批发连锁零售一体企业的一些典型应用系统数据分级分类,供参考
序号 | 资产名称 | 存储方式 | 业务重要度 | 当前数据量 |
---|---|---|---|---|
1 | ERP | Oracle+mino | 高 | 1.1T |
2 | OMS | 分布式Mysql | 高 | 120G |
3 | POS | Oracle | 高 | 780G |
4 | B2B电商平台 | Oracle+ali OSS | 高 | 240G |
5 | 金蝶云星空 | SQLServer | 中 | 420G |
6 | WMS | Oracle | 中 | 600G |
7 | TMS | Oracle | 中 | 50G |
8 | 流向管理系统 | MySQL | 中 | 75G |
9 | 成文集成调度平台 | MySQL | 中 | 900M |
10 | OA | SQLserver | 中 | 6G |
11 | 内容中台 | MySQL+mion | 高 | 20G |
12 | 促销中台 | MySQL+HDFS | 中 | 3.2T |
13 | 税控服务器 | MySQL | 中 | 15G |
14 | 其他 | 各种类型 | 低 | 4.5T |
# 根据数据资产分级配置备份计划
根据数据存储的方式以及业务重要度配置不同的备份任务计划 。
重要度高的核心业务(ERP、WMS、电商平台)数据库实施主从实时同步 参考文章:
重要度高的核心业务系统(GSP质量证照资料、电子发票、合同附件通过rsync每小时异地备份 参考文章
所有数据库存储通过T+1离线完全+增量备份到NAS 参考:
程序代码+批处理脚本通过版本控制工具同步。 推荐工具:
- gitlab
- svn
- 云效(公有云)
- 产品部署包,安装程序通过NAS备份。
# 监控备份计划执行情况
同步和部分任务计划配置后,需要定期检查执行情况。
推荐使用成文数据集成调度平台调度。分布式的架构,满足跨平台,多点备份统一调度执行和监控。多种通知方式实时掌握数据安全状况。
# 任务配置
- 支持Windows、Linux跨平台分布式执行器部分备份任务创建
- 支持SQLserver/ORACLE/Mysql/文件/HDFS备份和异构数据同步任务
- 支持执行SQL语句、存储过程判断数据库主从同步是否消费
- 支持监控MQ、kafka数据消费执行情况
- 任务执行失败支持邮件、短信、钉钉等多种消息通知方式
# 定期巡检备份有效性
备份执行后还需定期进行备份文件的有效性检查,确保备份是可用的主要方法有:
- 源和目标文件传输MD5校验
- 数据库备份文件恢复测试
推荐使用成文数据管理系统-任务调度平台进行自动化巡检,检查失败自动重写并进行消息推送预警通知 图
# 结束语
# 保持良好的安全意识
维护企业信息安全离不开良好的良好的运维习惯
# 安全是相对的
当风险低于入侵所获得的收益时,则认为是安全的。没有必要为非关键数据投入过大的安全成本