勒索病毒的防护及处置

勒索病毒介绍

勒索病毒，是一种流行的木马，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。主要以漏洞利用、RDP弱口令暴力破解、钓鱼邮件、网页挂马等形式进行传播。这种病毒利用各种加密算法对文件进行加密后，向文件所有者索要赎金。如果感染者拒付赎金，就无法获得加密的私钥，无法恢复文件。这种病毒其实只是传统安全技术的一个小小的应用创新，以前加密技术一直用于防，现在却用于攻，从防到攻，突然发现原来加密技术可以这么玩。在数字世界里，勒索这门生意，这几年却正蓬勃兴起。勒索软件的概念可以追溯到1989年，那时人们通过人工投递的软盘，将 PC 锁定恶意代码发送给受害者，但自2014年以来，随着比特币等加密数字货币在全球的广泛使用，这类业务有了令人侧目的增长。

系统加固建议

1. 定期增打系统补丁，升级中间件、服务器版本。
2. 限制远程登陆空闲断开时间 - 对于远程登陆的账号，设置不活动超过时间 15 分钟自动断开连接，
3. 修改远程桌面服务默认端口，及系统管理员默认账号及密码，避免弱密码（密码必须包括大 小写字母、数字、特殊符号）长度为12位。
4. 防病毒管理 - 安装企业级防病毒软件EDR，并开启病毒库更新及实时防御功能。
5. 服务安全 - 禁用 TCP/IP 上的 NetBIOS 协议，关闭无业务需求服务器的 UDP 137、UDP 138、以及 TCP 139、445 端口。
6. 共享文件夹及访问权限 - 非域环境中，关闭 Windows 硬盘默认共享，C$，D$。
7. 服务器及主机的远程连接端口不对公网进行开放。

勒索病毒的处置

1. 断网处理，防止勒索病毒内网传播感染，造成更大的损失，虚拟机可以禁用虚拟网卡通过控制台管理，而物理机可以直接拔网线！
2. 查找样本和勒索相关信息及是否有解密工具确认是哪个勒索病毒家族的样本后看看是否有相应的解密工具，可以进行解密。但勒索病毒通过技术手段解密可能性感人
3. 进行溯源分析确认是通过哪种方式传播感染的进来的，封堵相关的安全漏洞，更要排查其他主机，隔离已感染主机后，应尽快排查业务系统与备份系统是否受到影响，确定病毒影响范围，准备事后恢复。如果存在备份系统且备份系统是安全的，就可以将损失降到最低，也可以最快的恢复业务。
4. 衡量电脑或者服务器资料的重要性如资料不重要，可全盘格式化再重装系统。如果资料非常重要，便要考虑准备工作开始重新收集资料并根据溯源分析的结果进行安全加固
5. 做好相应的安全防护工作，以防再次感染加强网络安全，评估网络风险情况。清理内网存在的其它已经中毒但还没发作的电脑。拦截外部可能再出现的感染可能性并对主机进行安全加固。
6. 数据千万条，备份第一条在数据还没出现问题之前，一定一定要及时把想备份的内容做个备份