rsa算法及原理,rsa算法漏洞

2022-07-07 21:49:39 焦点

　　勒索软件是全球范围内快速增长的网络威胁之一，给很多组织和个人造成了不小的损失。勒索病毒攻击造成的损失在短短一年内就超过了10亿美元，并且勒索病毒攻击的数量每天都在增加，构成了全球性的威胁。　　

　　本文主要介绍针对复杂勒索病毒攻击的重要勒索病毒响应列表和缓解技术。　　

　　一个　　

　　常见因素 　　

　　勒索病毒的一个共同因素是，所有勒索病毒变种都使用非常强大的加密(2048 RSA密钥)方法，普通台式电脑破解RSA 2048密钥大约需要64000年。高级加密算法的广泛使用，包括RSA和AES密码，使勒索软件更加强大。　　

　　勒索病毒正在用无法追踪的比特币支付，每个勒索病毒变种都需要不同的比特币金额来获得解密密钥。有时受害者支付费用，他们不提供钥匙。相反，他们通过感染其他人的设备来迫使受害者获得解密密钥。　　

　　为了保持匿名性，攻击者总是使用“TOR”(洋葱路由器)与受害者建立通信，这有助于攻击者隐藏其IP地址。因为Tor网络是由成千上万个不同国家的节点创建的，所以你无法用常规浏览器浏览Tor网站。　　

　　感染症状 　　

　　当一个包含软件程序和指令的窗口已经打开，你不能关闭它，警告倒计时程序将指导你如何支付解锁文件和设备。倒计时程序会警告你，如果超过付款期限，你将无法解密文件或赎金会增加。您不能突然打开文件或文件已损坏。你可以看到如何解密文件。TXT或不同目录下的一些相关说明。　　

　　三　　

　　勒索软件入口点和感染媒介 　　

　　网络钓鱼用户将会收到一封正文带有恶意链接的电子邮件。一旦点击链接，就会下载一个包含勒索软件的文件。　　

　　例如：电子邮件看起来像是来自某大品牌、社会工程等。　　

　　电子邮件附件用户将收到一封附有无害文件的电子邮件。一旦用户打开文件，它就会在受害者的电脑中被触发。　　

　　比如：迫切需求，工作机会，通用Zip文件，打开文件的紧迫性，汇款。　　

　　嵌入的超链接恶意文档包含嵌入的超链接。当用户点击超链接时，就会下载包含勒索病毒变种的恶意文件。　　

　　比如正常文件中的超链接链接到勒索软件。　　

　　而下载用户浏览被感染的网站和被破坏的网站，下载一个软件，他们以为是正版软件，实际上却含有勒索病毒变种。　　

　　比如：一般浏览，色情网站，从Bit Torrent下载文件，PC下载，Play store。　　

　　用户的浏览器感染了恶意插件和未打补丁的第三方应用，会感染机器，并通过被感染的用户和组织内部的文件共享平台(如IRC、Skype等社交媒体)进行传播。　　

　　被感染的网站会引导用户使用漏洞利用工具包，它会关注勒索软件漏洞，之后再下载并利用勒索软件。　　

　　比如：恶意广告　　

　　四　　

　　事件响应和缓解 　　

　　一旦您意识到设备被感染或网络中出现一些异常活动，建议您采取以下措施来缓解。　　

　　文件扩展名在加密过程中，文件扩展名将被更改为您从未见过的新扩展名。　　

　　因此，收集已知勒索软件的文件扩展名并监控扩展名将有助于您在事件发生前识别勒索软件。　　

　　在这种情况下，现有的文件扩展名保持不变，但在加密过程中将创建一个新的文件扩展名，并将其添加到受感染文件的正常文件扩展名旁边。　　

　　查看所有异常勒索软件相关的文件扩展名。　　

　　批量文件重命名使用您的网络或您的计算机监控大量文件被重命名，这将是勒索软件入侵的重要指标。　　

　　检查您的资产是否更改了任何批量文件名。　　

　　与正常使用相比，使用行为分析将帮助您找到网络中正在更改或突然使用的任意数量的文件。　　

　　工具安全组织中的端点保护、防病毒和Web内容过滤等安全工具可以帮助您过滤互联网上访问的内容。这些工具将分析您的网络和计算机的行为，并帮助您找到基于行为的指令。　　

　　它会监控用户基线的正常行为，如果有异常情况发生，它会提醒你检查。　　

　　您在网络中实施的入侵检测和预防系统将防止异常文件被回调并加密您的文件。　　

　　此外，它将阻止从命令和控制服务器下载加密密钥，并停止加密系统中的文件。　　

　　软件笔记(Software Notes)勒索软件笔记(Ransomware Notes)是一种清晰的指令，它会在你的屏幕上弹出，告诉你支付高额赎金。　　

　　这是大多数人应该意识到的软件攻击的迹象之一。　　

　　报告用户用户向服务台报告他们无法打开或找到文件，并且电脑运行缓慢。　　

　　您需要确保贵组织服务台的专业人员接受过全面的培训，能够应对勒索软件的影响并采取适当的缓解措施。　　

　　五　　

　　感染后的应急措施 　　

ong>

一旦您发现并确认您的计算机或网络已被感染，请立即采取以下措施。

断开网络连接完全断开受感染计算机和任何网络的链接，并将其完全隔离。

卸下所有存储设备，例如外部硬盘驱动器、USB 驱动器和其他存储设备。

关闭组织中的任何无线设备，例如路由器、WiFi、蓝牙等其他无线设备。

只需将计算机与网络和任何其他存储设备断开即可。

不要尝试擦除任何内容，例如清理设备、格式化等。因为这对于调查过程非常重要。

确定感染范围在这种情况下，您需要评估您的组织基础架构是否已被破坏或加密。

找到第一台被感染的机器，并确认被感染的存储介质。它可能是以下这些原因：

带有一些有价值信息的 U盘共享或非共享驱动器和文件夹外部硬盘基于云的存储（DropBox、Google Drive、Microsoft OneDrive/Skydrive 等）网络存储检查上述资产并确认加密符号。如果是云存储，则尝试恢复文件的最新未加密版本。

如果加密储存有备份的文件可用，请确定文件中受感染或加密的部分，以及需要恢复的文件或可能没有备份的文件。

最后，如果您没有选择继续上述可能性的选项，则重新连接内存驱动器，并检查解密的其他可能性。

了解勒索软件的版本或类型如果您支付了赎金，您需要了解哪些文件需要解密。

确定感染范围，需要检查由勒索软件创建的注册表或文件列表。

每个勒索软件都有不同的版本和类型。建议进行谷歌搜索，以确定您遇到的勒索软件版本，并根据勒索软件的正确版本进行研究。

确定勒索软件的种类每种勒索软件类型都有不同的方法和功能。所以你必须确定你正在处理哪种类型的勒索软件以及你手上有什么选择。

如果您觉得自己的设备受到入侵感染，那么请尝试咨询一些安全专家，通过提供有关各种文件和系统信息来确定您实际面临的是哪种勒索软件。

除非你直接从被感染的机器上分享，否则大多数软件都不具备跨网络自我传播的功能。

一般来说，勒索软件只感染单台机器或相关的共享网络文件，它不会对没有直接控制的相关网络或系统的文件进行加密。

因此，请确保您已经在受感染的软件中检查了上述内容。

快速应急响应勒索软件不需要任何用户交互来执行它的任务，因此您必须关注并快速响应。

您需要通过致电服务台进行快速反应，并立即让内部人员意识到已经发生了勒索软件攻击；并通知贵公司的高管、其他法律和应急响应团队；通知您的监管机构并咨询您的执法部门，并尝试尽快实施您的沟通计划。

您还可以联系行业的信息共享和分析中心(ISAC) 站点以了解类似的攻击。

付费以获得密钥付费的优势它比从备份中恢复数据提供了更快的解决方案就恢复总成本而言，这将是最便宜的解决方案它有助于最大限度地减少对业务和用户的干扰。付费的缺点支持犯罪、奖励犯罪会让你以后面临的风险很高，你可能会再次成为受害者不保证您的数据得到恢复不付费的优势您可以通过一定的数据恢复来维护数据的完整性。不支付费用给犯罪分子、不支持支持网络犯罪。您可以保护自己免受再次攻击，并且可以降低再次遭受攻击的风险。不付费的缺点恢复数据非常耗时如果您没有备份文件，则会导致危急情况。它会干扰业务连续性和用户，并且具有成本效益。准备好比特币资金在向犯罪分子支付赎金之前，您必须准备好您的比特币账户。

因为准备比特币账户需要时间，您必须将比特币存入账户。

即使您为此支付了赎金，也不意味着您的文件会被立即解密并可用。

有时，犯罪分子可能会对您转移的赎金金额进行人工核实。

取回解密密钥就需要一天以上的时间，因为有时候犯罪分子反应可能比较延迟。

防御勒索软件攻击定期备份您的数据并测试您的备份，这些备份可以随时恢复。

主要的感染媒介之一是 Microsoft Office 文档，因此请确保默认情况下禁用了您的Microsoft Office 宏。

使用强防火墙来阻止命令和控制服务器回调。它有助于防止恶意软件从回调 C&C 服务器访问加密密钥。

扫描您所有电子邮件中的恶意链接、内容和附件。隔离物理和逻辑网络，以最大限度地减少感染媒介。

始终使用防恶意软件和防病毒保护。大多数当前的防病毒软件都使用基于行为的分析，有助于最大程度地减少网络中发生的未知勒索软件威胁。

默认情况下不要向任何用户提供本地管理员权限。默认情况下避免高特权。

对相关用户强制执行访问控制权限，并允许他们访问他们工作中实际需要访问的文件。

为您的员工提供有关勒索软件攻击及其常见功能的适当培训，并培训员工如何处理链接。