酷牛信息

 一、 攻击手段 勒索病毒感染用户系统主要的渠道有以下几种： 1、黑客攻击 这是目前遇到最多的一种方式，因为攻击的背后是人，所以也是最难防范的一种。黑客攻击的流程一般是： A、通过社工等方式获得目标客户的IP地址（如果不是专门的ATP攻击，黑客一般会直接进行第二步） B、通过端口扫描，找到客户开放的端口，尤其是高风险端口，比如3389和445. C、获得权限。找到特定端口的开放信息之后，采用口令爆破或者该端口存在的漏洞进行攻击，进而获得管理员权限。 D、内网搜索。获得局域网内一台电脑的权限后，黑客会对内网机器进行同样的端口扫描和口令爆破，获得内网计算机的用户名和口令，种植后门木马，之后对特定计算机进行加密勒索。

E、清除痕迹。黑客完成勒索操作后，一般会种下木马，之后尝试清除自己留下的痕迹。

2、 通过邮件传播 某单位中勒索病毒，经过技术人员取证分析发现，中毒的源头来自一封邮件，邮件的附件是一个名为：付款发票.xlsx.exe的双后缀文件。因为客户的文件夹属性设置中隐藏了已知文件类型的扩展名，所以在用户看来只能看到:付款发票.xlsx，当他双击打开的时候，该EXE文件被执行，系统文件被加密

3、 互联网和U盘 用户通过互联网和移动介质感染病毒。如在下载的时候下载了捆绑了勒索病毒的程序等。 下图是关于勒索病毒传播的主要途径，可以看到，通过弱口令爆破仍是黑客攻击的主要手段：

二、 防范手段

了解了勒索的传播途径，下面我们来看一下企业如何构建勒索病毒防范体系：

1)、第一道防线：加强安全意识

加强员工网络安全意识培训，提升网络网络意识，增强网络网络防范技能，养成良好的上网和操作习惯、学会最基本的安全设置，了解最基本的安全知识。比如：避免使用弱口令、不能将重要文件放在系统盘，不要隐藏已知文件类型的扩展名，安全使用U盘等移动介质，学会防范社工攻击等。

2）、防火墙（FW）

防火墙是企业内非常重要的安全设备（软件），也是APPDRR模型中非常重要的防御手段。防火墙分为两种：网络防火墙（NFW）和主机防火墙（ HFW）。网络防火墙主要是硬件设备，部署在网络出口或不同网络区域的出口。主机防火墙是软件，部署在每一台计算机台。通过设置防火墙策略，可以关闭不必要的端口，避免黑客通过端口发起的扫描和攻击。可能有些端口因为业务的需要必须要开放（比如一些医院的445端口，PACS系统要用)，这时可以通过策略设备，只允许特定的IP或进程访问指定的计算机。在设置主机防火墙时，建议使用可以集中管理的企业级产品，不要使用系

统自带的防火墙。只所以不推荐使用系统自带的防火墙，主要还是因为管理的原因。试想一下，每当有不同的威胁出现，就需要针对每一台主机设置防火墙策略，如果使用系统自带的防火墙，只管理自己的主机是没问题的，如果有上千台主机呢？估计管理员会被逼疯的，尤其是当策略设置后万一影响到业务的使用，那个场面，你想象一下吧。

3）、入侵检测（IDS）。

IDS是非常重要的监测产品，跟防火墙一样，IDS也分为两种，网络IDS（NIDS）和主机IDS（ HIDS)，NIDS一般是硬件产品，一般以旁路方式部署在主交换机上，可以发现针对网络发起的网络攻击，HIDS部署在主机，目前大多是HIPS（主机入侵防御系统）产品，可以侦测到对于主机操作系统的不当行为并进行记录和警报。跟主机防火墙一样，目前很少有专门的HIPS产品，一般都和杀毒软件一起，融合在EPP（终端保护平台）产品中。

4）、杀毒软件。

杀毒软件无疑是防范勒索病毒过程中非常重要的一个环节，以前的文章针对如何防范勒索病毒的时候都是简单的写要安装杀毒软件，但经常有用户反应，我安装了杀毒软件啊，为什么不是不行。所以我有必要说清楚，并不是杀毒软件不行，而是你选择的产品并不合适。现在的杀毒软件，早都已经进化到了EPP时代，除了传统的防病毒功能(AV）之外，还包括主动防御（AD）、主机防火墙（HFW）、主机入侵防御（ HIPS），甚至还有移动介质管理、应用程序控制、防网络攻击、防漏洞利用等多种功能，这些都是现在杀毒软件，也就是EPP产品的标配，如果你还是选择老一代的AV产品，只有一个文件防病毒的功能，很明显是不能解决终端病毒问题的。所以这里我要强调的是：安装具有主机防火墙（FW）、主机入侵防御（HIPS）、主动防御等功能的EPP产品，并及时更新病毒库。

5）、做好主机加固。

尤其是服务器，要按照安全基线的要求进行安全设置和加固，做好帐号权限分配，去除不必要的服务，设置强口令，设置磁盘访问策略等。

6）、补丁管理。

补丁是一个非常重要的部分，对于防范网络攻击有非常显著的效果。关于补丁的管理要做到以下几点

A、补丁分为安全补丁和功能性补丁。安全补丁建议能打的都打上。功能性补丁能不打的尽量少打，以免影响业务的使用。 B、补丁在部署之前一定要做好适用性测试。针对单位内普通存在的不同系统进行补丁测试，确认补丁是否兼容，是冷补丁还是热补丁，即安装后是否需要重启，测试后没有问题再开始大规模部署

C、多批次小批量部署。建议在内网设置WSUS更新服务器，为避免打过补丁后系统出现异常，建议多用多批小批量的方式进行，多推送几次，每次推送的范围不要过大。同时对于服务器建议采用现场安装的方式，万一出现问题可以快速响应。

D、建议在服务器部署补丁之前进行系统的镜像备份，最好先在镜像中进行测试，确定无误后再部署，以免服务器瘫痪给网络带来更大的麻烦。

7）、数据备份

备份！备份！备份！重要的事情说三遍。即使你前面设置了再好的防御、监测和响应产品，仍然不可能完全杜绝勒索病毒的感染。对付勒索病毒最有效的方式只有备份。也就是APPDRR模型中的恢复措施，当你做好一切，却仍然被病毒勒索了，这个时候如果你没有备份，就只能去交钱了。数据安全，有备无患 。关于备份，有两点要求：

）要遵循备份的321原则，即要有三份数据（一份生产数据，两份备份数据），存储在2种不同的存储介质上，其中1份要保存在异地（离线）。一定不能把备份数据放在同一个硬盘或者存储上，也不能可以直接访问，不然勒索病毒会一起将你的备份文件加密。

2）一定要做好演练，确保备份数据的可用性。为保证演练的正常进行，建议采用镜像级备份，将业务系统和数据一起备份，这样方便进行恢复演练，确保备份数据的可用性。

做好以上几步，你应该不会再担心勒索病毒了。最后，经常有同学问我，我已经中了勒索病毒了，我该怎么办？

如果已经中了病毒，建议按如下步骤处理：

1、将中病毒的系统从网络中隔离。最简单粗暴的办法就是把网线拔掉。

2、关机，将系统进行完整镜像取证。推荐使用TRUE IMAGE的可启动媒体进行硬盘镜像，GHOST也可以，不过在恢复的时候经常会出现无法恢复的情况出现。

3、找专业人士进行取证分析。通过我们对大量勒索病毒的处理案例，一般的黑客在勒索前都会对内网进行扫描，基本上已经获取了大量的内网主机权限，通过取证分析，可能帮助你发现内网已经被攻陷的主机，同时分析出感染的源头，避免二次感染。

4

、做好证据固定之后，就可以处理你的被感染的系统了。我们不建议你去向黑客交钱，因为这无疑会助长黑客的气焰，最好的办法是用备份进行恢复，如果你实在是没有备份，而且数据又非常重要，那也只好想办法去交钱了。

友情提醒。如果损失比较重，建议直接报警，如果报警，请不要自行处理和取证分析，以免担上毁灭证据的嫌疑。报警的同时也请先检查贵单位是否按等保的要求进行了建设。不然，网络安全法，你懂的……。