2017年5月wannacry勒索病毒的爆发，被认为是迄今为止最严重的勒索病毒事件，此后，勒索病毒持续活跃在各大行业。今年第一季度，勒索病毒再次入侵多家企事业单位，导致网络系统瘫痪停摆，损失严重。

“贼心不死的勒索病毒“贼心不死”的勒索病毒

• 2019年1月  我国多地医院持续检测出勒索病毒，患者数据被加密，导致医院信息系统整体瘫痪。
• 2019年1月  美国一家印刷厂感染了Ryuk的勒索病毒，导致美国各大报纸发行受阻，同时一家拥有30000家用户的云托管服务提供商在圣诞节前也遭遇了Ryuk勒索病毒的攻击。
• 2019年2月  GandCrab v5.1再次在国内爆发。GandCrab病毒不仅没有规定受害者交赎金的币种，还要求受害者通过Tor网络或者Jabber即时通讯软件与其取得联系，根据加密的文件数量向中招用户勒索赎金1000美元-5000美元不等。
  
• 2019年3月  勒索病毒再次变种为GandCrab V5.2，攻击了上千台政府、企业以及相关科研机构的电脑，导致系统瘫痪，造成上千万损失。
  
• 2019年3月  世界最大的综合性铝业集团之一的挪威海德鲁公司在美国和欧洲的多个工厂遭受勒索软件攻击，导致IT系统无法使用，造成多个工厂关闭和部分工厂切换为手动运营模式。

对于勒索病毒，很多人只知其然而不知其所以然。知己知彼才能百战不殆，要想防御勒索病毒，首先得摸清楚它的来龙去脉。

病毒界“变色龙”

勒索病毒有多种类型，但近期最活跃的分别是Globelmposter勒索病毒、CrySis勒索病毒、GandGrab勒索病毒、Satan勒索病毒。其中，GandGrab勒索病毒最年轻但最流行变种速度也最快。

勒索病毒主要传播方式

• 邮件附件传播

      通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件，在附件中夹带含有恶意代码的脚本文件。

黑客邮箱地址（部分）

• 服务器入侵传播

      黑客首先通过弱口令、系统或软件漏洞等方式获取用户名和密码，再通过RDP远程登录服务器，一旦登录成功，黑客就可以在服务器上为所欲为。

• 软件供应链攻击传播

      软件供应链攻击是指在合法软件正常传播和升级过程中，利用软件供应商的各种疏忽或漏洞，对合法软件进行劫持或篡改，从而绕过传统安全产品检查达到非法目的的攻击类型。

• 漏洞传播

      漏洞传播存在多种类型。其中，通过服务器弱口令传播和永恒之蓝系列传播是最主要的方式。

• 利用挂马网页传播

      通过入侵主流网站的服务器，在正常网页中植入木马，让访问者在浏览网页时利用IE或Flash等软件漏洞进行攻击。

可能导致勒索病毒入侵的常见因子

1. 终端用户安全意识薄弱，没有安装杀毒软件或没有及时更新补丁；
2. 弱口令漏洞；
3. 公网内网混用；
4. 企业终端资产繁杂，管理存在盲区；
   
5. 没有做好日常安全监测；
6. 检测出病毒入侵，但无法精准定位，不能在短时间内将其阻断。

万一中招怎么办？

1. 隔离感染主机，通过关机、断网或修改访问控制策略；
2. 不建议被攻击的用户自行支付赎金；
3. 尝试进行数据恢复。一部分勒索病毒加密文件的时候直接加密原文件，还有一部分勒索病毒是加密原文件副本再删除原文件，而原文件有些会用随机数覆盖，有些并没有。原文件没有被覆盖的情况就可以通过数据恢复的方式进行恢复。
4. 备份还原。本机备份恢复的可能性很低，与感染病毒的主机不在同一局域网内的异地备份系统最能在此时发挥作用。进行备份还原前，要确保原主机上病毒已彻底清除，应进行磁盘格式化并重装系统。

      目前，被勒索病毒加密的文件依旧无法破解，避免造成损失的最好办法就是提前防御。

                                                                                                              

主动出击才是最好的护身符

• 网络安全管理怎么做？

1. 在企业和政府单位内部，通过技术手段和规章制度将安全措施落地，确保入网终端符合安全规范。
2. 在电脑上安装保护终端安全的软件，定期扫描杀毒、更新补丁、修复漏洞。
3. 提高各类终端的自身安全水平，包括传统PC、移动智能终端，以及物联网设备、摄像头等。
4. 系统安全更应该从整体的安全体系和网络维护机制层面去保证，即持续地对进入网络的各种终端进行安全规范性检查和风险预防。

• 具体措施有哪些？

1. 不打开来历不明的邮件及附件；
2. 及时安装杀毒软件，升级病毒库，对操作系统进行全面扫描查杀；
3. 在Windows中禁用U盘的自动运行功能；
4. 及时升级操作系统和各类软件安全补丁，防止病毒利用漏洞传播；
5. 禁用电脑的远程桌面功能，必须要用时将默认3389端口修改为其他端口；设置复杂的开机密码；
6. 多台机器，不要使用相同的账号和口令；尽量关闭不必要的文件共享权限以及关闭不必要的端口，如：445,135,139,3389等；
7. 重要数据、文件及时做好异地备份。
   

如何利用技术手段防御病毒入侵，盈高ASM有一套解决方案

1. 对终端系统漏洞、弱口令密码、杀毒软件等数十项进行安全检查，并完成自动修复或者隔离，提前规避感染病毒的风险；
2. 自带“系统服务”检查功能，可对问题服务项进行关闭和禁用；
3. 特有的任务自动下发功能，可推送脚本到终端解决相关问题；
4. 特有的“补丁检查”和“软件分发”可自动将补丁下发并完成修复；
5. POC检查，通过自定义安检项和软件下发功能，运行相应的POC程序，并将结果上报从而汇总高风险终端；
6. 威胁微隔离。对于检测出的高风险终端，采用网络隔离的方式，暂时切断网络连接，待修复后方可连入网络。

抵御病毒威胁，需要建立具备监测预警、安全防护、应急   处置等多能力交互的网络安全防御体系。无论勒索病毒怎么演变，盈高都将全方位守护您的网络安全。