勒索病毒介紹

勒索病毒，是一種新型電腦病毒，主要以郵件、程序木馬的形式進行傳播。該病毒性質惡劣、危害極大，一旦感染將給路段帶來業務終端，數據被加密等無法估量的損失，且該病毒具備傳染性，可能對網絡中所有設備進行攻擊，造成感染。

   投毒步驟

①攻擊者發現了暴露在公網上的設備A

②通過代理服務器進行慢速爆破避免被安全設備識別

③取得設備A控制權后繼續滲透服務器A

④攻陷服務器A后發現是測試環境通過遠控繼續橫向擴散

⑤當發現被攻陷的服務器中存在有價值的信息后打開加密開關

        預防手段

 基礎安全加固

 資產安全優化

針對內網的資產、威脅及風險，進行持續性檢測；基于威脅情報驅動，加強云端、邊界、端點的聯動，實現防御、檢測、響應閉環。

對弱密碼情況進行處置，保證密碼的復雜度，降低被破解密碼入侵的風險

定期升級系統或應用至最新狀態，并全盤進行查殺，對系統進行深度清理，保證系統的安全性。

 安全運營提升

定期備份重要資料以及數據

進行資產梳理，確保所有主機資產都有效記錄并定時進行主機安裝更新。

提高安全意識避免點擊釣魚郵件中的惡意Office文檔和鏈接

應該確保安裝專業的反病毒產品，而不僅僅只安裝“電腦管家”、“電腦助手”等輔助類工具。最重要的是，需要確保這些專業的反病毒產品實時運行，并定期更新。

不要輕信網上的“專業恢復公司”，如果木已成舟，確認全部文件已經被加密，此時應該尋求專業安全人員的幫助，切忌盲目使用搜索引擎查找網上的所謂解決方案，以及不要輕信網上的“專業恢復公司”。部分勒索軟件，攻擊者不僅嘗試感染用戶電腦，并且還在網絡上以“專業的勒索軟件清除公司”為名義發布廣告。

        處理手段

應急處理——>抑制處理——>根除

      應急處理

1. 發現文件被加密或者彈出勒索相關提示時，不要立即重啟電腦，防止病毒發作及擴散；

2. 確認主機遭受勒索病毒后，應對受影響的主機及其所在區域進行斷網隔離，方法不限于關機、禁用有線網卡、無線網卡或拔掉網線、防止感染其他終端，并立即向上級主管部門報告；

3. 評估病毒影響范圍并逐一排查確認，加強全網的訪問控制策略（如防火墻策略等），防止病毒擴散。

4. 若數據較為重要的情況下，可暫時先不要刪除或損壞被加密數據、并確認是否有能解決的方案。

    抑制處理

5. 下線中毒設備，使用備用設備（確認已提前打好補丁并將殺毒軟件升級至最新版本）盡快進行業務恢復；

6. 對轄內系統未中毒的設備進行補丁修復及安全加固，以免勒索病毒橫向擴展，影響更大范圍。

    根除

   1.   針對中毒設備進行全盤格式化，并重裝操作系統，并從備份文件中恢復相關軟件及數據資料。

    小提示

隨著勒索軟件影響面的逐漸擴大，一些知名安全公司也紛紛根據此前獲取的威脅情報，開發出了針對勒索軟件的專門恢復工具。在發現感染后，可以嘗試使用這些公司提供的工具。需要注意的有兩點，一是務必要從這些知名安全公司的官網下載工具并使用。第二是，盡管目前存在一定數量的恢復工具，但仍然無法確保一定能實現恢復，甚至成功恢復的概率是偏低的，因此要有相應的心理預期。下面匯總了知名廠商的恢復工具，列舉如下作為參考：

（1）     卡巴斯基免費勒索軟件解密器：

https://noransom.kaspersky.com/

（2）     Avast的免費勒索軟件解密工具：

https://www.avast.com/zh-cn/ransomware-decryption-tools

（3）     反病毒廠商EMSISOFT的解密工具：

https://www.emsisoft.com/decrypter/

（4）     知名安全研究團隊MalwareTeam的工具：

https://id-ransomware.malwarehunterteam.com/

（5）     Nomoreransom勒索軟件解密工具集：

https://www.nomoreransom.org/zh/decryption-tools.html