如何应对勒索病毒入侵（企业针对勒索病毒如何建立防范机制）

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密。除了病毒开发者本人，其他人是几乎不可能解密。加密完成后，还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。且变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。

那么针对勒索病毒企业如何建立防范机制？

总体而言，企业应该坚持增强用户对电子邮件安全的意识和培训，并考虑如何在恶意电子邮件进入员工邮箱后立即识别和补救。各企业还应确保进行适当的补丁管理，并审查哪些服务可能暴露于互联网。远程桌面服务应该得到正确配置和保护，尽可能使用最低权限原则，并有适当的策略来检测与暴力攻击相关的模式。

a）要定期进行安全培训，提升人员网络安全意识，包括∶

> 不上钩∶标题吸引人的未知邮件不要点开;> 不打开∶不随便打开电子邮件附件;

>不点击∶不随意点击电子邮件中的附带网址;

>要备份∶重要资料要备份;

>要确认∶开启电子邮件前确认发件人可信;

>要更新∶系统补丁/安全软件病毒库保持实时更新。

b）建议由于其他原因不能及时安装补丁的系统，考虑在网络边界、路由器、防火墙上设置严格的访问控制策略、软件限制策略，以保证网络的动态安全。

c）建议对于存在弱口令的系统，需在加强使用者安全意识的前提下督促员工停止使用弱密码.或使用安全策略来强制规定密码长度和复杂性。

d）对网络资产进行核查，如果存在一些非必要开启的网络服务或端口可以按照最小权限原则进行关闭或禁用，最大程度减少黑客入侵的攻击面。

e）企业应建设、培养专业的网络安全管理人才，密切关注网络安全动态，与安全厂商展开良好互动.仅仅依重安全软件就解决网络风险是难以想象的，安全攻防需要长期的技术投入和人员投入。

f）建议对重要的网络服务进行远程访问策略配置、对管理节点进行限制，只限定允许的IP地址访问管理后台。数据库服务避免使用弱密码，配置最大错误登录次数，防止远程黑客进行暴力破解。

g）对企业重要业务的数据库文件、文档文件制定完善的安全备份机制，建立数据保护机制，对核心业务的数据要建立数据离线备份机制，并定期对备份文件有效性进行校验。

APT 投递勒索软件攻击持续且隐蔽，当遇到紧急问题时需具备较强的应变能力，做出快速的应急响应处置，建立针对勒索软件的专项应急响应体系，快速恢复数据和业务并遏制内部资产遭遇再次攻击。

（1） 快速恢复数据并恢复业务。如果企业已经遭受勒索软件攻击，应第一时间考虑如何快速恢复数据并恢复业务，勒索攻击的目的就是将企业数据加密并因此停止业务来勒索钱财，所以具备快速使用清洁数据进行业务恢复是快速灵活应对勒索攻击后的第一要素。在生产恢复后。企业可以有充分的时间和精力联合安全厂商，作出后续的排查处理。同时告知公司领导、业务部门业务已经恢复。再清查可能存在的系统及数据受损的可能性，制定进一步紧急响应预案。

（2）隔离勒索软件感染设备。确认遭受勒索软件攻击，在恢复业务的第一时间后，在不影响业务的前提下可以采取断网、关机等方式隔离受侵害设备。

（3）排查勒索软件感染范围。在已经隔离感染设备的情况下，对数据备份、网络分布、信息泄露等情况进行排查，并检查核心业务是否遭受攻击影响。对于感染情况不明的设备。应提前进行磁盘备份。在隔离网内现场或线上排查，避免启动设备时因残留勒索软件再次感染。

（4）研判勒索软件攻击事件。通过感染的勒索软件勒索信息、加密文件、桌面背景、可疑样本、弹窗信息等借助工具对勒索软件进行分析， 或求助网络安全专业人员 对勒索软件感染时间、传播方法、感染种类等进行排查，确定感染的勒索软件类型，便于尝试进行病毒破解等。

（5）尝试进行勒索软件破解。在确定勒索软件类型的基础上。尝试利用勒索软件本身加密特性、流程等破解，进而恢复遭到加密的全部或部分数据，如针对已经公布私钥、以文件大小作为密钥等部分勒索软件尝试进行破解。其中，病毒破解技术专业性极高，可联系网络安全企业寻求协助。

勒索软件不断更新迭代，防不胜防. 从很多实际的勒索案例来看，最终解决问题的关键是是否有可用和可靠的备份数据，而传统备份很容易成为勒索软件的攻击对象，这就需要对企业核心数据基于网络隔离机制建立更可靠可用的备份数据。遭勒索软件攻击后首先是需要尽快恢复生产，同时也要对勒索软件溯源定位.并查明攻击源头，提出应对安全措施，固化安全经验查漏补缺，避免事件再次发生。

既然攻击不可避免，作为运维管理人员就需要确保备份数据的可靠和可用，勒索软件一般都会有一个潜伏期，所以应该借助一些检测工具检测备份数据的完整性，检测到异常现象就应该告警，最好能指明攻击载体并列出受影响的文件. 从而帮助您在众多的备份数据集里找到正确可用的数据去快速恢复业务。

另外备份的数据一定要定期验证，"没经过验证的备份都不叫备份"，企业应确保对核心数据做到隔离保护的同时对所有备份数据进行定期验证。如果把数据备份比作买保险，那么数据恢复就是理赔的过程，实际收益与您的投资和规划密切相关。同时恢复流程必须与关键利益相关者一起实施和演练，这样才能在发生勒索软件攻击时将停机时间和企业成本降至最低。

企业重要业务的核心数据必须基于"4-3-2-1-0 原则"保护∶

4个以上副本:

原则∶保留数据到不同介质，不同系统、不同数据中心的多份数据。

>近线存储上的连续数据保护数据的副本;

>离线备份存储上的日常备份副本;

>异地复制的容灾副本;

>隔离副本，建立一份脱离数据中心的隔离副本。

3个以上恢复点:

原则∶以RPO服务水平为出发点。

>RP0=0∶连续数据保护CDP;

>RP0= 小时∶日常备份介质，定时备份时间点的恢复;

>RPO=天∶隔离备份介质，定时离线备份的恢复。

2个以上系统保护:

原则∶保护方式多样化。

>备份管理软件;

>应用软件直接备份。

1个以上异地容灾

> 原则∶核心数据"必须"在异地存放一份可用拷贝。

0数据丢失

,