近日，湖南的兩(liǎng)家醫院相繼遭到了勒索病毒的攻擊，這(zhè)不僅給醫院的日常運作增添了麻煩，同時也造成(chéng)了不良的社會(huì)響應。痛定思痛，本期就和大家聊下關于勒索病毒的若幹問題，并提供相應的解決方法，所有企業客戶可以以此建議爲參考做好(hǎo)提前防禦！

勒索病毒就是一種(zhǒng)惡意軟件，在設備上運行就會(huì)加密或銷毀相應的計算機文件，造成(chéng)企業以及個人的業務損失。

一般的傳播途徑爲：

1、 通過(guò)社交網絡或是電子郵件的附件形式發(fā)送給受害者，誘使其點擊運行從而造成(chéng)破壞。

2、 通過(guò)系統的安全漏洞或者通過(guò)系統弱密碼暴力破解，控制系統的操作權限從而實施破壞；

爲了讓大家了解勒索病毒的威脅及工作原理，漢武安全實驗室搭建了一套環境重現病毒的整個加密及感染過(guò)程。

一、通過(guò)下載pestudio對(duì)病毒文件進(jìn)行分析，在virustotal模塊中可以知道(dào)這(zhè)個文件是否已經(jīng)被(bèi)主流殺毒軟件廠商标識了病毒特征從而判斷是否是病毒文件。建議大家以後(hòu)接受一些exe/bin等格式的文件不要直接運行，最好(hǎo)通過(guò)這(zhè)個軟件提前檢測下。 

二、在網上下載勒索病毒樣(yàng)本，改變其格式爲exe文件雙擊運行，大家可以觀察下我桌面(miàn)的文件狀态的變化。

感染前後(hòu)對(duì)比

三、感染後(hòu)，病毒會(huì)在桌面(miàn)提供一個頁面(miàn)，用于告訴受害者如何提交贖金。一般贖金支付方式以tor洋蔥網絡訪問暗網的鏈接（主要是爲了實現網絡匿名無法追溯）呈現，并以比特币支付。因爲其實現的加密方式是基于RSA（公私鑰）和AES（對(duì)稱加密），私鑰隻有黑客擁有，理論上需要解密文件繳納贖金是唯一解。最糟糕的是你繳納了贖金，黑客也不一定爲你解密。天下最痛苦的事(shì)情莫過(guò)于此！

     如遇到此類情況，第一時間應急響應措施：

     1、立即斷開(kāi)已經(jīng)感染的主機系統的網絡連接，防止進(jìn)一步擴散；

     2、采用數據恢複軟件、磁盤硬件數據恢複服務進(jìn)行數據恢複，盡可能(néng)挽回數據損失；

     3、已經(jīng)感染終端，根據終端被(bèi)加密數據重要性決定處置方式，安裝全新操作系統，并完善操作系統補丁、安裝防病毒軟件并通過(guò)檢查确認無相關漏洞後(hòu)再恢複網絡連接。

那怎麼(me)做才能(néng)讓自己避免陷入被(bèi)動？既然事(shì)後(hòu)于事(shì)無補，我們防禦思路應該集中在事(shì)前和事(shì)中。以下是我們的一些安全建議：

1.數據備份。當然僅僅做好(hǎo)數據備份還(hái)不夠，我們需要日常對(duì)備份的數據進(jìn)行恢複演練。這(zhè)樣(yàng)在遭到破壞的第一時間才能(néng)做出應急應對(duì)。

2.保持系統的更新。雖然在實際的生産過(guò)程中，更新系統的業務連續性驗證會(huì)比較麻煩，但是爲了做好(hǎo)安全，作爲企業的IT管理人員還(hái)是應該積極的面(miàn)對(duì)這(zhè)些麻煩事(shì)。

3.避免弱密碼利用。設置高強度的密碼，并做好(hǎo)周期性的改密計劃。

4.核心資産做好(hǎo)防護。核心就是做好(hǎo)隔離，有物理網絡的隔離，也可以通過(guò)防火牆ACL進(jìn)行端口級别的控制。

5.終端安全。爲每個終端安裝主流版本的殺毒軟件，并保證病毒特征庫的更新。

極爲重要！！！加強内部員工的安全培訓。譬如：郵件的附件、社交工具傳輸的執行文件不輕易點擊。

針對(duì)此類事(shì)件，

帕拉迪建議提前做好(hǎo)預防方爲上策！

帕拉迪推出的IAM系統就專門治理企業數據中心業務及主機的弱口令問題及核 心權限訪問控制問題；讓網絡中每個進(jìn)出數據中心的行爲都(dōu)可管理、可控制、可追朔 。

1.通過(guò)IAM-SMS運維審計模塊對(duì)資産進(jìn)行資産弱密碼周期性的自動修改，防止弱密碼的暴力破解。

2.通過(guò)IAM-SCM準入控制模塊防止未授權IP訪問重要資産的管理端口。

3.通過(guò)IAM-WEB安全模塊爲業務系統進(jìn)行安全建模，防止黑客通過(guò)WEBSHELL網頁木馬上傳此類勒索病毒進(jìn)一步感染核心服務器。