近日，湖南(nán)的兩家醫院相繼遭到了勒索病毒的攻擊，這不僅給醫院的日常運作增添了麻煩，同時也造成了不良的社會響應。痛定思痛，本期就和大(dà)家聊下(xià)關于勒索病毒的若幹問題，并提供相應的解決方法，所有企業客戶可以以此建議爲參考做好提前防禦！

勒索病毒就是一(yī)種惡意軟件，在設備上運行就會加密或銷毀相應的計算機文件，造成企業以及個人的業務損失。

一(yī)般的傳播途徑爲：

1、 通過社交網絡或是電(diàn)子郵件的附件形式發送給受害者，誘使其點擊運行從而造成破壞。

2、 通過系統的安全漏洞或者通過系統弱密碼暴力破解，控制系統的操作權限從而實施破壞；

爲了讓大(dà)家了解勒索病毒的威脅及工(gōng)作原理，漢武安全實驗室搭建了一(yī)套環境重現病毒的整個加密及感染過程。

一(yī)、通過下(xià)載pestudio對病毒文件進行分(fēn)析，在virustotal模塊中(zhōng)可以知(zhī)道這個文件是否已經被主流殺毒軟件廠商(shāng)标識了病毒特征從而判斷是否是病毒文件。建議大(dà)家以後接受一(yī)些exe/bin等格式的文件不要直接運行，最好通過這個軟件提前檢測下(xià)。 

二、在網上下(xià)載勒索病毒樣本，改變其格式爲exe文件雙擊運行，大(dà)家可以觀察下(xià)我(wǒ)(wǒ)桌面的文件狀态的變化。

感染前後對比

三、感染後，病毒會在桌面提供一(yī)個頁面，用于告訴受害者如何提交贖金。一(yī)般贖金支付方式以tor洋蔥網絡訪問暗網的鏈接（主要是爲了實現網絡匿名無法追溯）呈現，并以比特币支付。因爲其實現的加密方式是基于RSA（公私鑰）和AES（對稱加密），私鑰隻有黑客擁有，理論上需要解密文件繳納贖金是唯一(yī)解。最糟糕的是你繳納了贖金，黑客也不一(yī)定爲你解密。天下(xià)最痛苦的事情莫過于此！

     如遇到此類情況，第一(yī)時間應急響應措施：

     1、立即斷開(kāi)已經感染的主機系統的網絡連接，防止進一(yī)步擴散；

     2、采用數據恢複軟件、磁盤硬件數據恢複服務進行數據恢複，盡可能挽回數據損失；

     3、已經感染終端，根據終端被加密數據重要性決定處置方式，安裝全新操作系統，并完善操作系統補丁、安裝防病毒軟件并通過檢查确認無相關漏洞後再恢複網絡連接。

那怎麽做才能讓自己避免陷入被動？既然事後于事無補，我(wǒ)(wǒ)們防禦思路應該集中(zhōng)在事前和事中(zhōng)。以下(xià)是我(wǒ)(wǒ)們的一(yī)些安全建議：

1.數據備份。當然僅僅做好數據備份還不夠，我(wǒ)(wǒ)們需要日常對備份的數據進行恢複演練。這樣在遭到破壞的第一(yī)時間才能做出應急應對。

2.保持系統的更新。雖然在實際的生(shēng)産過程中(zhōng)，更新系統的業務連續性驗證會比較麻煩，但是爲了做好安全，作爲企業的IT管理人員(yuán)還是應該積極的面對這些麻煩事。

3.避免弱密碼利用。設置高強度的密碼，并做好周期性的改密計劃。

4.核心資(zī)産做好防護。核心就是做好隔離(lí)，有物(wù)理網絡的隔離(lí)，也可以通過防火(huǒ)牆ACL進行端口級别的控制。

5.終端安全。爲每個終端安裝主流版本的殺毒軟件，并保證病毒特征庫的更新。

極爲重要！！！加強内部員(yuán)工(gōng)的安全培訓。譬如：郵件的附件、社交工(gōng)具傳輸的執行文件不輕易點擊。

針對此類事件，

帕拉迪建議提前做好預防方爲上策！

帕拉迪推出的IAM系統就專門治理企業數據中(zhōng)心業務及主機的弱口令問題及核 心權限訪問控制問題；讓網絡中(zhōng)每個進出數據中(zhōng)心的行爲都可管理、可控制、可追朔 。

1.通過IAM-SMS運維審計模塊對資(zī)産進行資(zī)産弱密碼周期性的自動修改，防止弱密碼的暴力破解。

2.通過IAM-SCM準入控制模塊防止未授權IP訪問重要資(zī)産的管理端口。

3.通過IAM-WEB安全模塊爲業務系統進行安全建模，防止黑客通過WEBSHELL網頁木馬上傳此類勒索病毒進一(yī)步感染核心服務器。