当今时代,网络信息技术日新月异,已全面融入人们的生产、生活,但网络在极大促进经济、社会发展的同时,也带来了前所未有的挑战,例如不法份子散布勒索病毒,攻击使用连接到网络的计算机或其他设备的任意用户,试图通过威胁删除受害者的个人文件或发布敏感信息来敲诈受害者的钱财。
一. 如何判断中了勒索病毒?
如果你的计算机出现以下特征,可表明已经中了勒索病毒:
- 文件遭到加密,你无法访问它们
- 收到来自攻击者的消息,要求支付赎金以换取解密密钥
- 计算机上运行不熟悉的程序或进程
- 计算机变得缓慢或无响应
- 计算机显示异常错误信息或弹出窗口
如果你怀疑计算机感染了勒索软件,则必须迅速断开计算机与网络的连接,以防止勒索软件传播。
二. 勒索病毒传播途径有哪些?
- 网站挂马:用户浏览挂有木马病毒的网站,上网计算机系统很可能被植入木马并感染上勒索病毒。
- 邮件传播:攻击者通过利用当前热门字样,在互联网上撒网式发送垃圾邮件、钓鱼邮件,一旦收件人点开带有勒索病毒的链接或附件,勒索病毒就会在计算机后台静默运行,实施勒索。
- 漏洞传播:通过操作系统和应用软件的漏洞攻击并植入病毒是近年来流行的病毒传播方式。
- 捆绑传播:攻击者将勒索病毒与其他软件尤其是盗版软件、非法破解软件、激活工具进行捆绑,从而诱导用户点击下载安装,并随着宿主文件的捆绑安装进而感染用户的计算机系统。
- 介质传播:攻击者通过提前植入或通过交叉使用感染等方式将携有勒索病毒的U盘、光盘等介质进行勒索病毒的移动式传播。
三. 如何预防勒索软件攻击?三不三要
- 不上钩:标题吸引人的未知邮件不要点开
- 不打开:不随便打开电子邮件附件
- 不点击:不随意点击电子邮件中附带网址
- 要备份:重要资料要备份,推荐使用3-2-1 备份策略(至少3个备份,备份使用2种不同的介质,至少1个异地备份)
- 要确认:开启电子邮件前确认发件人可信
- 要更新:系统补丁/安全软件病毒库保持实时更新
四. 群晖如何保护文件免受勒索软件的攻击?
预防措施对于避免成为勒索软件的受害者至关重要,除了完备的备份策略,有一些系统安全设置也很重要,通过加强群晖NAS的系统安全、提高密码强度、增加访问验证等,来加强系统防护。这里整理了9个tips,来提升系统安全性:
1. 保持更新&启用通知
保持更新
群晖定期发布DSM系统更新,除了优化功能和性能外,还会解决一些产品安全漏洞。而如果发生安全漏洞时,群晖产品安全事件响应团队(PSIRT)会在8小时内进行评估和调查,并在接下来的15小时内发布补丁,以防止零日攻击的潜在损害。
如果企业考虑到业务稳定性,不会实时对DSM进行更新,那可以先在群晖虚拟化应用平台—Virtual Machine Manager中创建一个虚拟DSM系统,也就是VDSM,将生产环境复制到VDSM中,并将VDSM系统更新到最新,以此来进行升级测试。
启用通知
开启接收系统通知,在发生特定事件时可以通过邮件、短信、移动设备或Web浏览器接收通知。例如:存储空间不足或备份任务失败,可以及时收到通知,并快速采取相应措施。
另外,建议用户建立Synology Account,可以及时收到安全信息以及最新的功能和产品资讯。
2. 运行安全顾问
通过【安全顾问】,可以扫描NAS系统、帐户、网络等安全情况,并且通过扫描结果,安全顾问还会提供建议的操作。例如,是否不小心打开SSH服务,是否发生任何异常登录活动等。
无论是企业还是个人,都建议设置定期扫描计划。而针对企业环境,还可以根据需求来勾选更多的检查项目。
3. 设置基本DSM安全功能
IP自动封锁
网络攻击最基本的就是恶意登录,在密码强度低的情况下,很有可能会被恶意攻破密码。所以通过设定登录次数和时间限制,来封锁恶意尝试登录的IP。同时还可以导入IP黑白名单,来规范访问。
启用帐户保护
除了设置IP黑白名单,还可以选择依据客户端来设置帐户保护,添加信任或是屏蔽不受信任的客户端。
启用HTTPS
启用HTTPS后,可以加密和保护NAS与客户端之间的网络连接。
自定义防火墙规则
通过启用防火墙,根据自定义规则在被保护的内网和外网间构建保护屏障。
防火墙是一个虚拟屏障,通过自定义规则可以防止未授权的登录和控制服务访问。用户可以决定是否允许或拒绝通过特定IP地址访问特定的网络端口。例如:允许从特定的办公室进行远程访问,或是只允许访问特定的服务或协议。
4. 为HTTPS添加证书
数字证书在HTTPS中起着关键作用,但通常价格昂贵且难以维护。而对于小型工作室,或是家庭用户,群晖支持Let’s Encrypt(一个免费的自动证书颁发组织),可以使用户进行安全连接。
5. 停用默认的管理员帐户
一些网络病毒会主动攻击系统中默认的admin,也就是管理员帐户,以获取系统的最高授权,从而可以攻击所有终端和文件。
所以在设置NAS时,尽量避免使用admin等通用名称,例如:administrator、root等。所以在NAS中禁用默认admin帐户后,再自定义创建一个具有管理员权限的帐户,并设置高强度的唯一密码,不要和其他系统或平台通用。
6. 密码强度
密码作为登入NAS的重要凭证,需要尽量设置的复杂化,建议密码包含大小写字母、数字和特殊符号,并尽量不要和其他系统、平台通用。
另外,某些情况下,系统管理员会给具有相同权限的帐户设置同一个密码,而如果当某个帐户被盗,则其他帐户也会被轻松控制。
所以,管理员在设置帐户时,可以自定义密码策略,以规范所有用户设定密码的强度。
如果强密码容易导致用户忘记,也可以通过密码管理器,例如:1Password、LastPass、Enpass等。这样只需要记住一个主密码,密码管理器将帮助您创建和填写所有其他帐户的登录凭据
7. 2步验证
2步验证,可以为登录时添加额外的安全保护,也就是除了需要输入密码外,还需要输入手机上收到的一个6位动态验证码。这样就可以做到更安全的登录限制。
通过管理员对用户手机进行绑定设置,可以授权给绑定的手机进行2步验证。而当绑定的手机遗失或更换时,也可以取消该绑定设备来进行重设。
8. 更改默认端口
通过更改DSM的默认HTTP(5000)和HTTPS(5001)端口,可以阻止一些有针对性的常见威胁。而如果定期使用终端机来登录NAS,也可以更改默认的SSH(22)端口。
还可以部署反向代理从而提高安全性,反向代理会作为内部服务器和远程访问之间的通信中介,从而隐藏关于服务器的某些信息,例如服务器的实际IP地址。
9. 不使用时禁用SSH/Telnet
结合上一点,如果是定期需要使用SSH/Telnet服务,请在不用时进行关闭。由于默认情况下启用了root访问,并且SSH / Telnet仅支持以管理员帐户登录,因此黑客可能会强行破解管理员密码来获得对系统的未授权访问。如果需要始终提供终端服务,建议设置一个强密码并更改默认的SSH(22)端口号,以提高安全性。
通过以上9点可以为NAS系统加强安全等级,并实时掌握运行情况。除此之外,确保了数据安全,还要实时检测数据的一致性,因为如果有未授权的访问,很有可能会导致数据丢失或被篡改。所以在这9点基础上,还要定期对存储池进行数据清理,并对硬盘进行S.M.A.R.T.检测,以检测数据的完整性。