近日，湖南的兩家醫院相(xiàng)繼遭到了勒索病毒的攻擊，這不僅給醫院的日常運作增添了麻煩，同時也造成了不良的社會響應。痛定思痛，本期就(jiù)和大家聊下關于勒索病毒的若幹問題，并提供相(xiàng)應的解決方法，所有企業客戶可(kě)以以此建議(yì)爲參考做好提前防禦！

勒索病毒就(jiù)是一種惡意軟件(jiàn)，在設備上運行就(jiù)會加密或銷毀相(xiàng)應的計算機(jī)文件(jiàn)，造成企業以及個人的業務損失。

一般的傳播途徑爲：

1、 通過社交網絡或是電子郵件(jiàn)的附件(jiàn)形式發送給受害者，誘使其點擊運行從而造成破壞。

2、 通過系統的安全漏洞或者通過系統弱密碼暴力破解，控制系統的操作權限從而實施破壞；

爲了讓大家了解勒索病毒的威脅及工作原理，漢武安全實驗室搭建了一套環境重現病毒的整個加密及感染過程。

一、通過下載pestudio對病毒文件(jiàn)進行分析，在virustotal模塊中可(kě)以知道這個文件(jiàn)是否已經被主流殺毒軟件(jiàn)廠(chǎng)商标識了病毒特征從而判斷是否是病毒文件(jiàn)。建議(yì)大家以後接受一些exe/bin等格式的文件(jiàn)不要直接運行，最好通過這個軟件(jiàn)提前檢測下。 

二、在網上下載勒索病毒樣本，改變其格式爲exe文件(jiàn)雙擊運行，大家可(kě)以觀察下我桌面的文件(jiàn)狀态的變化。

感染前後對比

三、感染後，病毒會在桌面提供一個頁面，用于告訴受害者如(rú)何提交贖金。一般贖金支付方式以tor洋蔥網絡訪問暗網的鏈接（主要是爲了實現網絡匿名無法追溯）呈現，并以比特币支付。因爲其實現的加密方式是基于RSA（公私鑰）和AES（對稱加密），私鑰隻有黑(hēi)客擁有，理論上需要解密文件(jiàn)繳納贖金是唯一解。最糟糕的是你繳納了贖金，黑(hēi)客也不一定爲你解密。天下最痛苦的事情莫過于此！

     如(rú)遇到此類情況，第一時間應急響應措施：

     1、立即斷開已經感染的主機(jī)系統的網絡連接，防止進一步擴散；

     2、采用數據恢複軟件(jiàn)、磁盤硬件(jiàn)數據恢複服務進行數據恢複，盡可(kě)能挽回數據損失；

     3、已經感染終端，根據終端被加密數據重要性決定處置方式，安裝全新操作系統，并完善操作系統補丁、安裝防病毒軟件(jiàn)并通過檢查确認無相(xiàng)關漏洞後再恢複網絡連接。

那怎麽做才能讓自己避免陷入被動？既然事後于事無補，我們防禦思路(lù)應該集中在事前和事中。以下是我們的一些安全建議(yì)：

1.數據備份。當然僅僅做好數據備份還(hái)不夠，我們需要日常對備份的數據進行恢複演練。這樣在遭到破壞的第一時間才能做出應急應對。

2.保持系統的更新。雖然在實際的生(shēng)産過程中，更新系統的業務連續性驗證會比較麻煩，但(dàn)是爲了做好安全，作爲企業的IT管理人員還(hái)是應該積極的面對這些麻煩事。

3.避免弱密碼利用。設置高強度的密碼，并做好周期性的改密計劃。

4.核心資産做好防護。核心就(jiù)是做好隔離(lí)，有物理網絡的隔離(lí)，也可(kě)以通過防火(huǒ)牆ACL進行端口級别的控制。

5.終端安全。爲每個終端安裝主流版本的殺毒軟件(jiàn)，并保證病毒特征庫的更新。

極爲重要！！！加強内部員工的安全培訓。譬如(rú)：郵件(jiàn)的附件(jiàn)、社交工具傳輸的執行文件(jiàn)不輕易點擊。

針對此類事件(jiàn)，

帕拉迪建議(yì)提前做好預防方爲上策！

帕拉迪推出的IAM系統就(jiù)專門治理企業數據中心業務及主機(jī)的弱口令問題及核 心權限訪問控制問題；讓網絡中每個進出數據中心的行爲都可(kě)管理、可(kě)控制、可(kě)追朔 。

1.通過IAM-SMS運維審計模塊對資産進行資産弱密碼周期性的自動修改，防止弱密碼的暴力破解。

2.通過IAM-SCM準入控制模塊防止未授權IP訪問重要資産的管理端口。

3.通過IAM-WEB安全模塊爲業務系統進行安全建模，防止黑(hēi)客通過WEBSHELL網頁木馬上傳此類勒索病毒進一步感染核心服務器。