勒索病毒，是一種新型電腦病毒，主要以郵件、程序木馬、網頁挂馬的形式進行傳播。該病毒性質惡劣、危害極大，一旦感染将給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。

勒索病毒文件一旦進入本地，就會自動運行，同時删除勒索軟件樣本，以躲避查殺和分析。接下來，勒索病毒利用本地的互聯網訪問權限連接至黑客的C&C服務器，進而上傳本機信息并下載加密私鑰與公鑰，利用私鑰和公鑰對文件進行加密。除了病毒開發者本人，其他人是幾乎不可能解密。加密完成後，還會修改壁紙，在桌面等明顯位置生成勒索提示文件，指導用戶去繳納贖金。且變種類型非常快，對常規的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主，對常規依靠特征檢測的安全産品是一個極大的挑戰。

那麼針對勒索病毒企業如何建立防範機制？

總體而言，企業應該堅持增強用戶對電子郵件安全的意識和培訓，并考慮如何在惡意電子郵件進入員工郵箱後立即識别和補救。各企業還應确保進行适當的補丁管理，并審查哪些服務可能暴露于互聯網。遠程桌面服務應該得到正确配置和保護，盡可能使用最低權限原則，并有适當的策略來檢測與暴力攻擊相關的模式。

a）要定期進行安全培訓，提升人員網絡安全意識，包括∶

> 不上鈎∶标題吸引人的未知郵件不要點開;> 不打開∶不随便打開電子郵件附件;

>不點擊∶不随意點擊電子郵件中的附帶網址;

>要備份∶重要資料要備份;

>要确認∶開啟電子郵件前确認發件人可信;

>要更新∶系統補丁/安全軟件病毒庫保持實時更新。

b）建議由于其他原因不能及時安裝補丁的系統，考慮在網絡邊界、路由器、防火牆上設置嚴格的訪問控制策略、軟件限制策略，以保證網絡的動态安全。

c）建議對于存在弱口令的系統，需在加強使用者安全意識的前提下督促員工停止使用弱密碼.或使用安全策略來強制規定密碼長度和複雜性。

d）對網絡資産進行核查，如果存在一些非必要開啟的網絡服務或端口可以按照最小權限原則進行關閉或禁用，最大程度減少黑客入侵的攻擊面。

e）企業應建設、培養專業的網絡安全管理人才，密切關注網絡安全動态，與安全廠商展開良好互動.僅僅依重安全軟件就解決網絡風險是難以想象的，安全攻防需要長期的技術投入和人員投入。

f）建議對重要的網絡服務進行遠程訪問策略配置、對管理節點進行限制，隻限定允許的IP地址訪問管理後台。數據庫服務避免使用弱密碼，配置最大錯誤登錄次數，防止遠程黑客進行暴力破解。

g）對企業重要業務的數據庫文件、文檔文件制定完善的安全備份機制，建立數據保護機制，對核心業務的數據要建立數據離線備份機制，并定期對備份文件有效性進行校驗。

APT 投遞勒索軟件攻擊持續且隐蔽，當遇到緊急問題時需具備較強的應變能力，做出快速的應急響應處置，建立針對勒索軟件的專項應急響應體系，快速恢複數據和業務并遏制内部資産遭遇再次攻擊。

（1） 快速恢複數據并恢複業務。如果企業已經遭受勒索軟件攻擊，應第一時間考慮如何快速恢複數據并恢複業務，勒索攻擊的目的就是将企業數據加密并因此停止業務來勒索錢财，所以具備快速使用清潔數據進行業務恢複是快速靈活應對勒索攻擊後的第一要素。在生産恢複後。企業可以有充分的時間和精力聯合安全廠商，作出後續的排查處理。同時告知公司領導、業務部門業務已經恢複。再清查可能存在的系統及數據受損的可能性，制定進一步緊急響應預案。

（2）隔離勒索軟件感染設備。确認遭受勒索軟件攻擊，在恢複業務的第一時間後，在不影響業務的前提下可以采取斷網、關機等方式隔離受侵害設備。

（3）排查勒索軟件感染範圍。在已經隔離感染設備的情況下，對數據備份、網絡分布、信息洩露等情況進行排查，并檢查核心業務是否遭受攻擊影響。對于感染情況不明的設備。應提前進行磁盤備份。在隔離網内現場或線上排查，避免啟動設備時因殘留勒索軟件再次感染。

（4）研判勒索軟件攻擊事件。通過感染的勒索軟件勒索信息、加密文件、桌面背景、可疑樣本、彈窗信息等借助工具對勒索軟件進行分析， 或求助網絡安全專業人員 對勒索軟件感染時間、傳播方法、感染種類等進行排查，确定感染的勒索軟件類型，便于嘗試進行病毒破解等。

（5）嘗試進行勒索軟件破解。在确定勒索軟件類型的基礎上。嘗試利用勒索軟件本身加密特性、流程等破解，進而恢複遭到加密的全部或部分數據，如針對已經公布私鑰、以文件大小作為密鑰等部分勒索軟件嘗試進行破解。其中，病毒破解技術專業性極高，可聯系網絡安全企業尋求協助。

勒索軟件不斷更新叠代，防不勝防. 從很多實際的勒索案例來看，最終解決問題的關鍵是是否有可用和可靠的備份數據，而傳統備份很容易成為勒索軟件的攻擊對象，這就需要對企業核心數據基于網絡隔離機制建立更可靠可用的備份數據。遭勒索軟件攻擊後首先是需要盡快恢複生産，同時也要對勒索軟件溯源定位.并查明攻擊源頭，提出應對安全措施，固化安全經驗查漏補缺，避免事件再次發生。

既然攻擊不可避免，作為運維管理人員就需要确保備份數據的可靠和可用，勒索軟件一般都會有一個潛伏期，所以應該借助一些檢測工具檢測備份數據的完整性，檢測到異常現象就應該告警，最好能指明攻擊載體并列出受影響的文件. 從而幫助您在衆多的備份數據集裡找到正确可用的數據去快速恢複業務。

另外備份的數據一定要定期驗證，"沒經過驗證的備份都不叫備份"，企業應确保對核心數據做到隔離保護的同時對所有備份數據進行定期驗證。如果把數據備份比作買保險，那麼數據恢複就是理賠的過程，實際收益與您的投資和規劃密切相關。同時恢複流程必須與關鍵利益相關者一起實施和演練，這樣才能在發生勒索軟件攻擊時将停機時間和企業成本降至最低。

企業重要業務的核心數據必須基于"4-3-2-1-0 原則"保護∶

4個以上副本:

原則∶保留數據到不同介質，不同系統、不同數據中心的多份數據。

>近線存儲上的連續數據保護數據的副本;

>離線備份存儲上的日常備份副本;

>異地複制的容災副本;

>隔離副本，建立一份脫離數據中心的隔離副本。

3個以上恢複點:

原則∶以RPO服務水平為出發點。

>RP0=0∶連續數據保護CDP;

>RP0= 小時∶日常備份介質，定時備份時間點的恢複;

>RPO=天∶隔離備份介質，定時離線備份的恢複。

2個以上系統保護:

原則∶保護方式多樣化。

>備份管理軟件;

>應用軟件直接備份。

1個以上異地容災

> 原則∶核心數據"必須"在異地存放一份可用拷貝。

0數據丢失