企业网络防御勒索病毒的研究与实践

2024年3月6日发(作者：)

企业网络防御勒索病毒的研究与实践魏评（无锡科技职业学院信息中心，江苏无锡214028）摘要院勒索病毒通过互联网络的快速传播对企业信息安全造成了严重的威胁，勒索病毒对计算机文件的非法加密会导致数据信息的破坏。通过某企业案例分析研究与实践，在遭受勒索病毒攻击后实现业务系统的应急恢复，并通过加强服务器安全管理、信息系统部署优化、多种方式的数据备份等措施，从技术与管理层面加强对勒索病毒的防御，提高企业网络安全与信息化管理水平。关键词院勒索病毒；网络；数据；安全；防御；备份1概述硬盘袁存储有一个月前该企业全部虚拟机备份资料袁即最为重要的仓储系统业务数据库还是1个月前备份时间点的数据状态遥近几年勒索病毒通过互联网快速传播袁对国内的网络安全形势带来了严峻考验遥据统计2020年11月以来新增CryptoJoker尧Devos尧RegretLocker等勒索病毒变种不断出现袁勒索病毒加远程执行漏洞蠕虫传播的组合致使信息安全风险剧增袁遭受感染位居前三包括Windows给企业网络信息安全和个人电脑应用造成了严重的威7尧Windows10和WindowsServer2008微软操作系统袁胁遥许多Windows系统在修复已知补丁尧安装正版防病毒软件并加强防御的情况下有时也会遭受攻击破坏遥有别于传统的计算机病毒袁勒索病毒目标是对Windows系统存储设备中的重要文件全部加密袁一旦感染锁定袁用户无法获取对称密钥根本无法恢复数据袁造成加密文件失效不能使用袁只能放弃重要的电脑文件袁即使支付高额的比特币赎金也不一定能恢复数据遥33.1采取应急处理措施勒索病毒攻击后采取的管理措施遭受勒索病毒攻击后袁首先要防范病毒的进一步破坏遥从网络安全角度考虑袁必须对局域网服务器部署的数十台业务虚拟机以及全部办公计算机进行彻底排查遥通过VMwareESXivClient客户端登录各台ESXi物理主机袁对全部虚拟机的虚拟网卡立即设置为禁用状态袁切断与内部局域网络的通讯连接袁防范勒索病毒在局域网内部横向传播与阻止继续加密文件遥对虚拟机逐台排查发现袁部分未开远程桌面和共享服务的虚拟机未受到病毒攻击袁文件正常使用遥对正常运行的服务器逐台启用网络连接袁立即修改管理员账户与更换复杂密码并做好记录袁禁用远程桌面和共享服务遥进一步检查修复操作系统补丁袁启用微软操作系统内置的软件防火墙袁关闭高风险服务以提高防御能力遥安装360安全卫士的野NSA武器库免疫工具冶检测修复漏洞袁全面免疫预防NSA黑客武器遥经检测运行状态正常的虚拟机袁立即导出完整的模板备份并拷贝到移动硬盘离线保存遥办公计算机也采取与服务器类似的排查方法袁加强本机的安全性遥由于此次勒索病毒攻击发生在凌晨1点左右袁办公计算机全部处于关机状态所以并未受到波及遥3.2尽快恢复业务系统受到勒索病毒破坏的服务器虚拟机袁在确保虚拟机2某企业遭受勒索病毒攻击的案例分析VLAN网段袁与集团总部采用VPN隧道方式实现互联互某企业局域网部署192.168.16.0至192.168.24.0的通遥平时注重服务器虚拟机Windows系统补丁修复袁安装有ESETFileSecurity尧火绒尧360安全卫士等防病毒软件遥部分虚拟机启用了文件共享尧远程桌面等服务袁其中远程桌面禁用默认的3389端口并全部修改成28***端口发布遥某天员工上班后发现无法登录仓储管理系统袁进一步检查发现Oracle数据库与库备份文件已加密袁文件服务器中的共享文件尧软件接口等服务器中大量文件的扩展名全部带有加密字符袁被破坏的文件均无法正常打开使用遥更为严重的是同属192.168.16.0网段的VEEAMBACKUP备份服务器上的虚拟机备份文件全部被勒索病毒加密袁已无法恢复到前一工作日晚上最新备份的业务系统状态遥由于重要业务系统的宕机使该企业经营业务一度陷入停滞瘫痪状态遥对历史数据备份评估发现袁该企业网络管理员还有一个离线备份的移动网卡禁用的情况下通过vClient控制台登录袁检测系统中是否还存在未加密的重要文件遥如果存在未加密的重要文件有就及时拷贝出来袁如果重要文件被加密袁该服作者简介：魏评渊1975-冤袁男袁硕士袁高级工程师袁研究方向院计算机网络尧信息系统管理应用遥2021.5169

务器就失去了继续使用的价值袁可以关机停用或将虚拟机彻底从存储设备中删除遥为了尽快恢复仓储系统的运行Windows袁首先利用Oracle数据库备份后拷贝导出Server2008R2VEEAMBACKUP平台构建的仓储系统虚拟机恢复了1个月前基于遥重新构建基于CentOS6.7袁把版本的cle64位Linux服务修改成非数据库环境后导入平台虚拟机1521端口号发布1个月前的备份数据库袁部署Linux系统的遥由于ERP系统服务器袁数据库Ora鄄部署在集团总部袁根据企业1个月前备份时间点的商品库存数据袁同时比对ERP数据中员个月之内的进货尧销售尧调拨数据重新进行编程核算袁恢复到目前最新的商品库存值遥恢复软件接口等服务器后仓储业务基本恢复正常袁经仓库实物盘点与仓储系统库存比对袁正确率达到了99%以上遥其他部分服务器由于缺失最新的备份文档4袁也损失了不少数据袁如文件共享服务器资料等遥4.1提高对勒索病毒的防御能力中小企业缺乏足够资金部署网络安全设备优化服务器的部署方式袁该企业此次遭受勒索病毒攻击最深刻的教训是UP思路之一是改变备份服务器的网络部署方式备份服务器的虚拟机备份文件被全部加密VEEAMBACK鄄遥遥企业内部优化的各个网段之间是互联互通的袁在192.168.17.0网段部署一台全千兆的路由器袁把VEEAMBACKUP备份服务器部署在路由器内网中遥VEEAMBACKUP备份服务器重新配置与各台ESXi主机连接袁提高虚拟机的备份频率遥关键步骤是禁用千兆路由器虚拟服务器的端口转发袁这样即使内网中存在计算机病毒传播也无法侦测到备份服务器的存在遥防止勒索病毒在企业内部多个局域网段进行扫描和攻击袁最大程度上保障了备份数据的安全遥淘汰使用年代久远的操作系统er2003尧病毒攻击Windows遥重新构建业务系统虚拟机可以采用Server2008R2袁等旧版的系统更易遭受特别是WindowsServ鄄WindowsServer2019等新版本操作系统袁例如在Linux尧dows墙和网络保护Server2019Win鄄尧勒索软件防护等组合安全措施安全中心启用病毒和威胁防护袁尧文件共防火享服务器采用4.2Openfiler软件部署遥加强服务器虚拟机的自身安全防护是网络管理的一加强服务器安全防护能力项常规工作遥经常关注微软公司官方发布的最新操作系统补丁并及时下载安装修复袁对数据库和业务软件的自身的安全漏洞经常扫描修复遥不同的虚拟机设置不同的管理员账户名和和密码袁登录口令满足长度和复杂性要求袁并定期更换口令遥管理员经常会使用姓名拼音尧电1702021.5话号码尧手机号码等容易记忆的字符组合作为密码袁例如手机号码以大键盘对应数字键的特殊字符作为密码袁就大大提高了密码的复杂性遥加强对文件服务器共享文件夹的管理袁严格设定共享文件的用户访问控制权限遥定期检查服务器的运行状态是否存在异常袁如自动新增账户尧Guest账户莫名被启用尧Windows系统日志是否存在异常尧杀毒软件是否存在异常拦截情况等遥对于来历不明的文件尧软件安装包和杀毒软件拦截查杀的文件不要添加信任继续运行遥加强计算机用户安全教育提高警惕性袁具有可疑隐藏名称的文件袁如带有.等受EXE密码保护的PDF文件尧电子邮件附件或来源不明的文件不要随意打开4.3遥网络管理员经常会通过提高服务器远程操作的安全性Windows自带的远程桌面服务进行远程管理操作袁为了提高安全性把默认的3389端口号修改成其它数字遥狡猾的勒索病毒会通过端口自动扫描方式袁搜索到远程桌面的其他端口号实施攻击袁为了提高安全性袁建议虚拟机全部禁用远程桌面服务VNC遥的远程控制计算机软件渊Virtual虚拟机的操作控制可以有多种方NetworkComputing式袁如安装er袁袁部署VNC虚拟网络计算Server及VNC冤轻量型View鄄或vCenterServer袁管理控制虚拟机系统通过Web遥以页面控制台管理操作https方式登录ESXi袁主机或在服务器和桌面计算机安装向日葵远程控制软件实现远程操作等4.4遥企业经营管理数据是重要的信息资源实施完善的数据备份措施与应急恢复预案袁需要采取多种技术措施实施安全可靠的数据备份与存储袁确保勒索病毒攻击或硬件故障等因素造成业务系统破坏后能够及时恢复数据与系统正常运行遥利用高速路由器在内网部署VEEAMBACKUP备份服务器基础上袁可以同时使用其他备份方式确保数据安全遥如根据一定的时间间隔袁在虚拟机上自动备份Oracle数据库袁通过网络自动存储到其他联网计算机袁实现异机备份遥对业务数据安全性要求高的企业利用空余的公网固定IP地址发布FTP服务器袁实现FTP远程存储备份遥利用百度网盘提供的单文件上传20G容量尧批量上传数无限制等优势袁对重要备份数据所在的文件夹设置自动备份到云端存储等遥在信息化经费充足的情况下袁部署成熟的软硬件一体化备份与应急恢复解决方案遥如群晖企业级备份方案袁利用SynologyDriveClient将存储在计算机上的数据备份到32个历史版本的解决方案SynologyNAS服务器袁避免文件系统非法加密袁为单个文件保留多达遥

此外袁还可以采用移动硬盘人工定期备份的方法袁把企业信息化与业务数据文件袁按照重要涉密档案的管理办法脱机妥善保存袁提高可靠性与安全性遥此次该企业受到勒索病毒攻击袁如果没有移动硬盘脱机保存的文件袁仓储系统和其他虚拟机的重要数据就全部丢失袁充分体现了离线备份存储的重要性遥上述多种备份措施可以组合起来使用袁其最终目的就是加强企业数据的安全性袁一旦业务系统遭受破坏袁能够将文件尽快还原至病毒感染前最近时间点的数据状态袁从而避免支付解锁数据的高额勒索费用和业务系统宕机遥机用户都需要高度重视勒索病毒的防御袁加强信息化安全防护能力袁尤其是对Windows系统弱口令尧漏洞尧文件共享和远程桌面等重点管理袁同时实施安全可靠的数据备份应对勒索病毒与其他多种网络威胁袁确保计算机数据安全遥[1]2020年11月勒索病毒疫情分析.2020.[M].人民邮电出版社,2020.参考文献[2]对抗加密勒索软件的自我防护[EB/OL].[3]何坤源.VMwarevSphere6.7虚拟化架构实战指南5结语针对Windows系统的勒索病毒攻击与数据破坏依然是勒索病毒的一个主要方向袁企事业单位包括个人计算(上接第146页)差袁并将其作为检查点的具体坐标遥之后对检查点点位的正射影像成果相对应的点位坐标进行计算遥两者之间进行对比袁其所存在的数据差为中误差遥另一种检查方法较为直接袁即直接获取正射影像的结果袁并将该结果与前期比例尺条件下的正射影像结果进行对比袁没有发生变化的点位为最终目标遥应用所产生的误差较大袁并由于此原因无法在大比例尺的地图测绘中应用袁但该方法操作性较强袁在灾害发生或意外情况发生的情况下能够作为数据获取的主要应急手段遥5结语低空无人拍摄需要在部分软硬件的协助下进行遥拍44.1裁边和匀色处理低空无人机影像处理技术通过对低空无人机的拍摄结果进行比较不难发现袁摄过程中适当的进行人工干预预处理能够有效地提升区域影像处理的效率遥通过上述研究内容不难发现袁高分辨率的遥感影像一体化测图系统下的影像获取能够满足现阶段数据获取及影像处理等的要求遥经济社会的不断发展为无人机航摄技术的进步带来了多重机遇袁目前我国依然对低空无人机影像处理技术的操作性尧便捷性等进行不断优化袁使其在各个领域中的应用地位更加稳固袁进一步拓展应用范围遥[1]宋文平.无人机航测系统集成及影像后处理有关问[2]于广瑞,曲以春,于兴超,李元强.基于Geoway软[3]葛洪涛.低空无人机影像的获取与处理[J].测绘[4]周辉,王旭东,赵青兰.基于低空遥感的无人机航片获取与处理[J].陕西气象,2014,(06):43-45.技术装备,2015,17(03):37-39+36.2015,(06):58-61.题研究[D].长安大学,2016.参考文献两者在航片尧航带等部位存有颜色尧光线等诸多差异遥导致该现象产生的主要原因有多种袁一方面袁天气条件等多种客观因素可能会导致此现象的产生遥当然袁相机本身的质量也会或多或少对上述内容产生影响遥但不论是哪种原因导致的袁原始影像的匀色处理都是具有实践意义的袁能够大大降低后续工作开展的难度遥裁边处理主要应用于照片边缘变形的情况袁同样是为了提升后续工作开展的准确性遥4.2全景影像图快速拼接处理件的低空无人机影像快速处理[J].北京测绘,相较于正射影像图而言袁全景影像图的特殊性更为明显遥首先袁该图像的获取并不需要地面控制点的辅助袁原始图像的拼接就可成功获取袁但需要在影像匹配的条件下对相关的同名点进行获取遥这样的快速拼接的处理方式固然带来了诸多便利袁但严谨性不高袁因此可能导致边缘地带出现物体错位的情况遥尽管该方法的2021.5171