勒索病毒工作原理&主机加固的核心要点

勒索病毒工作原理

勒索病毒文件一旦进入被攻击者本地，就会自动运行，同时删除勒病毒母体，以躲避查杀、分析和追踪（变异速度快，对常规的杀毒软件都具有免疫性）。接下来利用权限连接黑客的服务器，上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密（先使用 AES-128 加密算法把电脑上的重要文件加密，得到一个密钥；再使用 RSA-2048 的加密算法把这个密钥进行非对称加密。）。除了病毒开发者本人，其他人是几乎不可能解密。如果想使用计算机暴力破解，根据目前的计算能力，几十年都算不出来。如果能算出来，也仅仅是解开了一个文件。（当然，理论上来说，也可以尝试破解被 RSA-2048 算法加密的总密钥，至于破解所需要的时间，恐怕地球撑不到那个时候。）加密完成后，还会锁定屏幕，修改壁纸，在桌面等显眼的位置生成勒索提示文件，指导用户去缴纳赎金。 所以如何防勒索病毒，主机加固的思路才是良策。

主机加固的核心要点

1、系统加固：将调试好的系统锁定，变成可信系统。 在可信系统下，非法程序、脚本都无法运行。而且不会影响数据进出。 即使系统有漏洞，甚至管理员权限丢失，这个可信系统都是安全的。

2、程序加固 采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验，校验不通过 拒绝启动，并且可信程序无法被伪装。

3、文件加固 保护指定类型的文件不被篡改。

4、磁盘加密 创建安全沙盒，该沙盒对外隔离，对沙盒内的数据进行加密，确保数据只能在授权管理有效前提 下，才能被解密。如果没有授权，即使管理员也无法拷贝使用这些数据，即使系统克隆也无效。

5、数据库加固 第一层：数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。 第二层：数据库端口访问可信过滤，只允许业务程序进行数据库端口通信连接，在连 接字符串的IP+端口+账号密码中，追加进程身份识别。 第三层：数据库连接SQL文进行智能过滤，防止关键数据被检索和访问，防止数据库 内数据被非法访问，防止数据库表单的危险操作行为。