這幾天，好幾個(gè)客戶反映不幸中招勒索病毒，急尋藍(lán)隊(duì)云技術(shù)支援。經(jīng)過情況初步了解，這幾家公司都有一些共同原因。比如公司內(nèi)部安全意識極差，幾乎處于“裸奔”狀態(tài)；基本上都是物理服務(wù)器中招；基本上自己難以判斷中了勒索病毒。剛好，今天就分享下勒索病毒和一些防范手段、處置辦法。

勒索病毒十分危險(xiǎn)，它能通過多種方式發(fā)起攻擊，像利用漏洞、電子郵件、程序木馬、網(wǎng)絡(luò)下載等進(jìn)行傳播。這病毒性質(zhì)惡劣，危害極大，一旦感染，會給用戶帶來難以估量的損失。它會用各種加密算法把文件加密，然后勒索高額贖金。被感染的人一般解不了密，只有拿到解密的私鑰才有可能破解。所以，防范勒索病毒至關(guān)重要。黑客植入病毒完成加密后，會提示受害者文件被加密打不開了，得支付贖金才能恢復(fù)文件。

如果你的計(jì)算機(jī)出現(xiàn)下面這些特征，那就可能中了勒索病毒。

一、電腦桌面被篡改

服務(wù)器被勒索病毒感染后，最明顯的就是電腦桌面會有很大變化。通常桌面會出現(xiàn)新的文本或網(wǎng)頁文件，上面有說明如何解密的信息，同時(shí)還會有勒索提示和解密聯(lián)系方式。下面給大家看看電腦感染勒索病毒后，桌面發(fā)生變化的典型示意圖。

二、文件后綴被篡改

服務(wù)器感染勒索病毒后，另一個(gè)典型特征是文件后綴被改了。現(xiàn)在勒索病毒主要有文件加密類、數(shù)據(jù)竊取類、系統(tǒng)加密類、屏幕鎖定類等。這些勒索病毒一般通過下面幾種方式傳播：

①利用安全漏洞傳播：攻擊者會利用弱口令、遠(yuǎn)程代碼執(zhí)行等網(wǎng)絡(luò)產(chǎn)品安全漏洞（很多是已公開且有補(bǔ)丁，但沒及時(shí)修復(fù)的漏洞），入侵用戶內(nèi)部網(wǎng)絡(luò)，拿到管理員權(quán)限，然后傳播勒索病毒。

②利用釣魚郵件傳播：攻擊者把勒索病毒藏在釣魚郵件的文檔、圖片附件里，或者把惡意鏈接寫在郵件正文里。一旦用戶打開或點(diǎn)擊，病毒就會自動加載、安裝，威脅整個(gè)網(wǎng)絡(luò)安全。

③利用網(wǎng)站掛馬傳播：攻擊者攻擊網(wǎng)站，在網(wǎng)站上植入惡意代碼，或者自己搭建有惡意代碼的網(wǎng)站，誘導(dǎo)用戶訪問，觸發(fā)惡意代碼，劫持用戶頁面到勒索病毒下載鏈接并執(zhí)行，把病毒植入用戶設(shè)備。

④利用移動介質(zhì)傳播：攻擊者隱藏 U 盤、移動硬盤等移動存儲介質(zhì)的原有文件，創(chuàng)建和介質(zhì)盤符、圖標(biāo)一樣的快捷方式。用戶一點(diǎn)擊，就會自動運(yùn)行勒索病毒，或者運(yùn)行收集設(shè)備信息的木馬程序，方便以后勒索。

⑤利用軟件供應(yīng)鏈傳播：攻擊者利用軟件供應(yīng)商和用戶之間的信任關(guān)系，攻擊軟件供應(yīng)商的服務(wù)器，在合法軟件傳播、升級過程中劫持或篡改軟件，規(guī)避用戶網(wǎng)絡(luò)安全防護(hù)機(jī)制，傳播勒索病毒。

⑥利用遠(yuǎn)程桌面入侵傳播：攻擊者通常用弱口令、暴力破解等方式拿到攻擊目標(biāo)服務(wù)器的遠(yuǎn)程登錄用戶名和密碼，然后通過遠(yuǎn)程桌面協(xié)議登錄服務(wù)器，植入勒索病毒。而且一旦成功登錄，獲得服務(wù)器控制權(quán)限，就可以以服務(wù)器為跳板，在用戶內(nèi)部網(wǎng)絡(luò)進(jìn)一步傳播勒索病毒。

那我們該怎么防范勒索病毒呢？下面是一些方法和步驟。

一、更換弱口令

弱口令是勒索病毒攻擊的主要途徑之一。如果你的電腦、服務(wù)器、數(shù)據(jù)庫密碼比較簡單，那就趕緊換個(gè)復(fù)雜點(diǎn)的密碼。

方法一：盡量用“字母+數(shù)字+特殊符號”的形式，密碼長度可以設(shè)置為 8 位或更多，把字母、數(shù)字和符號混在一起。方法二：用幾個(gè)詞組成非固定短語做密碼，詞與詞之間用下劃線等符號分隔。比如“%you_i_think%”就比“imissyou”更安全。方法三：實(shí)在記不住復(fù)雜密碼，非得用名字、紀(jì)念日或電話號碼設(shè)置密碼的，就用某種方法變換一下。比如可以敲擊鍵盤的左上一個(gè)鍵來改換拼音字母，這樣被猜到或破解的可能性就會大大降低。

二、安裝安全防護(hù)軟件

推薦大家下載使用火絨或者 360 殺毒，總比“裸奔”強(qiáng)多了。安裝安全防護(hù)軟件能有效防止勒索病毒攻擊。我們要打開安全軟件的防護(hù)功能，保持開啟狀態(tài)，還要讓病毒庫保持更新。同時(shí)，定期進(jìn)行安全掃描和漏洞掃描，及時(shí)發(fā)現(xiàn)和修復(fù)安全問題。還要定期進(jìn)行全盤掃描和實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)和清除病毒。

三、加強(qiáng)安全意識

大家一定要了解勒索病毒的危害和傳播途徑，這里有幾點(diǎn)建議：

l別輕易下載或點(diǎn)擊不明來源的文件，也別打開可疑的網(wǎng)站鏈接。

l別打開陌生郵件地址發(fā)的郵件、郵件鏈接及其附件。

l定期關(guān)電腦，防止病毒不斷攻擊。

l給計(jì)算機(jī)系統(tǒng)設(shè)個(gè)強(qiáng)密碼，定期更換，別讓攻擊者輕易破解。

l在家辦公連接公司網(wǎng)時(shí)，要用 VPN 連接內(nèi)部網(wǎng)絡(luò)。像向日葵、todesk 等其他遠(yuǎn)程連接方式感染病毒的風(fēng)險(xiǎn)比較大，不用的時(shí)候別打開。

l服務(wù)器或計(jì)算機(jī)閑置時(shí)，別開放不必要的數(shù)據(jù)庫端口、局域網(wǎng)共享端口和遠(yuǎn)程訪問、登錄、連接相關(guān)的接口和服務(wù)。需要遠(yuǎn)程連接的時(shí)候再打開，用完立刻關(guān)閉遠(yuǎn)程訪問功能。

l盡量用正版軟件，別用破解軟件和激活工具，很多破解軟件都可能帶木馬。網(wǎng)絡(luò)與信息中心官網(wǎng)有很多正版軟件可以用。

l在 PC 端的設(shè)置 - 網(wǎng)絡(luò)與 Internet - WLAN - IP 分配中，改成自動 DHCP 分配。

l別連接未經(jīng)授權(quán)的 USB、SD 卡或其他外部存儲介質(zhì)，包括個(gè)人使用的也不行。

lU 盤等外部存儲介質(zhì)連接計(jì)算機(jī)設(shè)備和 PC 時(shí)，要先殺毒（火絨、360 等安全軟件一般會自動掃描）。

四、備份重要數(shù)據(jù)

定期備份重要數(shù)據(jù)，能有效避免勒索病毒攻擊造成的數(shù)據(jù)損失和泄露。把數(shù)據(jù)存到安全的地方，比如云端或外部存儲設(shè)備。

五、加強(qiáng)漏洞修復(fù)

①別再用 Windows XP、Windows 2003、Windows Vista 等微軟不再提供安全更新的操作系統(tǒng)了，可以去東南大學(xué)網(wǎng)絡(luò)與信息中心下載正版 win10 系統(tǒng)。及時(shí)修復(fù)計(jì)算機(jī)系統(tǒng)和應(yīng)用軟件的漏洞，安裝 Windows 漏洞補(bǔ)丁和升級程序。

②確保常用軟件是最新版本，定期更新電腦里的軟件，避免舊版本存在安全漏洞。

六、使用安全的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)設(shè)備

選擇可靠的網(wǎng)絡(luò)安全產(chǎn)品和網(wǎng)絡(luò)設(shè)備，別用不可信的 Wi-Fi，這樣能有效避免勒索病毒攻擊。

七、已受到勒索病毒攻擊怎么辦

如果已經(jīng)中了勒索病毒，千萬別輕易支付贖金。因?yàn)橼H金大多是比特幣等加密貨幣，一旦支付就基本追不回來了。支付贖金只會讓攻擊者更囂張，繼續(xù)攻擊勒索，而且也不能保證數(shù)據(jù)能被解密。也先別查殺病毒，有些勒索病毒把用戶文件加密后還植入了病毒，要是查殺病毒，可能會把被加密的文件也刪掉。這時(shí)候應(yīng)該第一時(shí)間聯(lián)系網(wǎng)絡(luò)與信息中心，尋找更有效的解決辦法。

藍(lán)隊(duì)云作為扎根云南本土的云計(jì)算及網(wǎng)絡(luò)安全服務(wù)商，擁有一支專業(yè)的安全團(tuán)隊(duì)，能夠?yàn)檎髥挝惶峁┩晟频陌踩?wù)。企業(yè)中了勒索病毒，藍(lán)隊(duì)云將依據(jù)完善的服務(wù)流程，開啟應(yīng)急處理。此外，藍(lán)隊(duì)云還提供風(fēng)險(xiǎn)評估、滲透測試、攻防演練、等保合規(guī)、密評改造等各類安全服務(wù)。