勒索軟件是近兩年來(lái)影響最大，也最受關(guān)注的網(wǎng)絡(luò)安全威脅形式之一。攻擊者通過(guò)電子郵件、網(wǎng)絡(luò)滲透、蠕蟲(chóng)病毒等多種形式，向受害者的電腦終端或服務(wù)器發(fā)起攻擊，加密系統(tǒng)文件并勒索贖金。

從 2016 年到 2017 年，勒索軟件呈現(xiàn)出全球性蔓延態(tài)勢(shì)，攻擊手法和病毒變種也進(jìn)一步多樣化。特別是2017 年 5 月全球爆發(fā)的永恒之藍(lán)勒索蠕蟲(chóng)（WannaCry，也有譯作“想哭”病毒）和隨后在烏克蘭等地流行的 Petya 病毒，使人們對(duì)于勒索軟件的關(guān)注達(dá)到了空前的高度。在全球范圍內(nèi)，政府、教育、醫(yī)院、能源、通信、制造業(yè)等眾多關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域都遭受到了前所未有的重大損失。

與 WannaCry 無(wú)差別的顯性攻擊相比，針對(duì)中小企業(yè)網(wǎng)絡(luò)服務(wù)器的精準(zhǔn)攻擊則是隱性的，不為多數(shù)公眾所知，但卻也已成為 2017 年勒索軟件攻擊的另一個(gè)重要特點(diǎn)。統(tǒng)計(jì)顯示，在 2017 年的國(guó)內(nèi)勒索軟件的攻擊目標(biāo)中，至少有 15% 是明確針對(duì)政企機(jī)構(gòu)的，其中由以中小企業(yè)為主要目標(biāo)。相比于一般的個(gè)人電腦終端或辦公終端，服務(wù)器數(shù)據(jù)的珍貴程度和不可恢復(fù)性更強(qiáng)（針對(duì)服務(wù)器的滲透式勒索攻擊一般不會(huì)留下死角或備份），因此被勒索者支付贖金的意愿也相對(duì)更強(qiáng)。

勒索軟件的攻擊量

2017 年 1-11 月，360 互聯(lián)網(wǎng)安全中心共截獲電腦端新增勒索軟件變種 183 種，新增控制域名 238 個(gè)。全國(guó)至少有 472.5 多萬(wàn)臺(tái)用戶電腦遭到了勒索軟件攻擊，平均每天約有 1.4 萬(wàn)臺(tái)國(guó)內(nèi)電腦遭到勒索軟件攻擊。

值得注意的是 2017 年截獲的某些勒索病毒，如 Cerber 病毒，會(huì)向某個(gè)IP地址段進(jìn)行群呼，以尋找可能響應(yīng)的控制服務(wù)器。病毒這樣做的目的可能是為了避免其服務(wù)器被攔截。如果沒(méi)有服務(wù)器響應(yīng)群呼消息，病毒則會(huì)按照其他既定流程執(zhí)行代碼。數(shù)據(jù)顯示，共截獲新增此類 IP 地址段 51 個(gè)。

下圖給出了勒索軟件 1 月至 11 月期間每月攻擊用戶數(shù)的情況。從圖中可見(jiàn)，4 月攻擊高峰期時(shí)的攻擊量為 81.1 萬(wàn)，一天之內(nèi)被攻擊的電腦平均可達(dá) 2.7 萬(wàn)臺(tái)。11 月是第二個(gè)攻擊小高峰，一天之內(nèi)被攻擊的電腦平均可達(dá) 3.1 萬(wàn)臺(tái)。

2017 年四月份發(fā)生的大規(guī)模勒索軟件攻擊，主要是因?yàn)?Shadow Brokers（影子經(jīng)紀(jì)人）組織公開(kāi)了披露美國(guó)國(guó)家安全局發(fā)現(xiàn)的漏洞“永恒之藍(lán)”，雖然“WannaCry”是在五月份爆發(fā)的，但此漏洞一直都有被別的勒索軟件利用進(jìn)行攻擊。

10 月至 11 月發(fā)生的大規(guī)模勒索軟件攻擊，主要是因?yàn)樵?10 月份時(shí)出現(xiàn)了一種以 .arena 為后綴的勒索軟件，11 月份時(shí)出現(xiàn)了一種以 .java 為后綴的勒索軟件。這兩款勒索軟件主要是由攻擊者通過(guò)嫻熟的手法入侵服務(wù)器后釋放勒索病毒的。以 .arena 和 .java 為后綴的勒索軟件在 10 月至 11 月流行的主要原因有三：

1）攻擊者入侵手段升級(jí)導(dǎo)致成功率大幅提高；

2）這兩款勒索軟件成功入侵了大量企業(yè)的服務(wù)器；

3）以.arena和.java為后綴的這兩款勒索軟件都屬于Crysis家族，這個(gè)家族每次更換新的私鑰都會(huì)換一個(gè)后綴（10月份是.arena后綴，11月份是.Java后綴）。新出現(xiàn)的.arena和.java替代了.wallet開(kāi)始流行。

勒索軟件的家族分布

統(tǒng)計(jì)顯示，Cerber、Crysis、WannaCry 這三大勒索軟件家族的受害者最多，共占到總量的 58.4%。其中，Cerber 占比為 21.0%，Crysis 占比為 19.9%，WannaCry 占比為 17.5%，具體分布如下圖所示。

結(jié)合大數(shù)據(jù)監(jiān)測(cè)分析，下圖給出了 2017 年不同勒索軟件家族在國(guó)內(nèi)的活躍時(shí)間分析。特別需要說(shuō)明的是：“類Petya”勒索病毒（該病毒說(shuō)明請(qǐng)參考第四章的第二節(jié)介紹），雖然在國(guó)外發(fā)動(dòng)了大規(guī)模的攻擊行為，產(chǎn)生了及其重要影響，但是在國(guó)內(nèi)基本就沒(méi)有傳播，所以在下圖中沒(méi)有體現(xiàn)這兩個(gè)家族。

勒索軟件的傳播方式

事實(shí)上，黑客為了提高勒索軟件的傳播效率，也在不斷更新攻擊方式，釣魚(yú)郵件傳播依然是黑客常用的傳播手段，服務(wù)器入侵的手法更加?jì)故爝\(yùn)用，同時(shí)也開(kāi)始利用系統(tǒng)自身的漏洞進(jìn)行傳播。今年勒索軟件主要采用以下五種傳播方式：

1）服務(wù)器入侵傳播

以Crysis家族為代表的勒索軟件主要采用此類攻擊方式。黑客首先通過(guò)弱口令、系統(tǒng)或軟件漏洞等方式獲取用戶名和密碼，再通過(guò)RDP（遠(yuǎn)程桌面協(xié)議）遠(yuǎn)程登錄服務(wù)器，一旦登錄成功，黑客就可以在服務(wù)器上為所欲為，例如：卸載服務(wù)器上的安全軟件并手動(dòng)運(yùn)行勒索軟件。所以，在這種攻擊方式中 ，一旦 服務(wù)器被入侵，安全軟件一般是不起作用的。

服務(wù)器能夠被成功入侵的主要原因還是管理員的帳號(hào)密碼被破解。而造成服務(wù)器帳號(hào)密碼被破解的主要原因有以下幾種：為數(shù)眾多的系統(tǒng)管理員使用弱密碼，被黑客暴力破解；還有一部分是黑客利用病毒或木馬潛伏在用戶電腦中，竊取密碼；除此之外還有就是黑客從其他渠道直接購(gòu)買(mǎi)賬號(hào)和密碼。黑客得到系統(tǒng)管理員的用戶名和密碼后，再通過(guò)遠(yuǎn)程登錄服務(wù)器，對(duì)其進(jìn)行相應(yīng)操作。

2）利用漏洞自動(dòng)傳播

今年，通過(guò)系統(tǒng)自身漏洞進(jìn)行傳播擴(kuò)散成為勒索軟件的一個(gè)新的特點(diǎn)。上半年震動(dòng)世界的WannaCry勒索病毒就是利用微軟的永恒之藍(lán)（EternalBlue）漏洞進(jìn)行傳播。黑客往往抓住很多人認(rèn)為打補(bǔ)丁沒(méi)用還會(huì)拖慢系統(tǒng)的錯(cuò)誤認(rèn)識(shí)，從而利用剛修復(fù)不久或大家重視程度不高的漏洞進(jìn)行傳播。如果用戶未及時(shí)更新系統(tǒng)或安裝補(bǔ)丁，那么即便用戶未進(jìn)行任何不當(dāng)操作，也有可能在完全沒(méi)有預(yù)兆的情況下中毒。此類勒索軟件在破壞功能上與傳統(tǒng)勒索軟件無(wú)異，都是加密用戶文件勒索贖金。但因?yàn)閭鞑シ绞讲煌?，?dǎo)致更加難以防范，需要用戶自身提高安全意識(shí)，盡快更新有漏洞的軟件或安裝對(duì)應(yīng)的安全補(bǔ)丁。

3）軟件供應(yīng)鏈攻擊傳播

軟件供應(yīng)鏈攻擊是指利用軟件供應(yīng)商與最終用戶之間的信任關(guān)系，在合法軟件正常傳播和升級(jí)過(guò)程中，利用軟件供應(yīng)商的各種疏忽或漏洞，對(duì)合法軟件進(jìn)行劫持或篡改，從而繞過(guò)傳統(tǒng)安全產(chǎn)品檢查達(dá)到非法目的的攻擊類型。

2017 年爆發(fā)的 Fireball、暗云III、類Petya、異鬼II、Kuzzle、XShellGhost、CCleaner 等后門(mén)事件均屬于軟件供應(yīng)鏈攻擊。而在烏克蘭爆發(fā)的類 Petya 勒索軟件事件也是其中之一，該病毒通過(guò)稅務(wù)軟件M.E.Doc的升級(jí)包投遞到內(nèi)網(wǎng)中進(jìn)行傳播。

4）郵件附件傳播

通過(guò)偽裝成產(chǎn)品訂單詳情或圖紙等重要文檔類的釣魚(yú)郵件，在附件中夾帶含有惡意代碼的腳本文件。一旦用戶打開(kāi)郵件附件，便會(huì)執(zhí)行里面的腳本，釋放勒索病毒。這類傳播方式的針對(duì)性較強(qiáng)，主要瞄準(zhǔn)公司企業(yè)、各類單位和院校，他們最大的特點(diǎn)是電腦中的文檔往往不是個(gè)人文檔，而是公司文檔。最終目的是給公司業(yè)務(wù)的運(yùn)轉(zhuǎn)制造破壞，迫使公司為了止損而不得不交付贖金。

5）利用掛馬網(wǎng)頁(yè)傳播

通過(guò)入侵主流網(wǎng)站的服務(wù)器，在正常網(wǎng)頁(yè)中植入木馬，讓訪問(wèn)者在瀏覽網(wǎng)頁(yè)時(shí)利用IE或Flash等軟件漏洞進(jìn)行攻擊。這類勒索軟件屬于撒網(wǎng)抓魚(yú)式的傳播，并沒(méi)有特定的針對(duì)性，一般中招的受害者多數(shù)為裸奔用戶，未安裝任何殺毒軟件。

勒索軟件攻擊的地域

監(jiān)測(cè)顯示，遭遇勒索軟件攻擊的國(guó)內(nèi)電腦用戶遍布全國(guó)所有省份。其中，廣東占比最高，為14.9%，其次是浙江8.2%，江蘇7.7%。排名前十省份占國(guó)內(nèi)所有被攻擊總量的64.1%。

2017年勒索軟件攻擊地域分布如下圖所示。

勒索軟件服務(wù)器分布

針對(duì)最為活躍的部分勒索軟件的 C2 服務(wù)器域名后綴的歸屬地進(jìn)行分析，結(jié)果顯示：.com 域名被使用的最多，約為總量的一半，為 48.7%，.net 和 .org占比分別為 3.8% 和 1.7%。此外，屬于歐洲國(guó)家的域名最多，占 31.9%，其次是亞洲國(guó)家 4.6%，南美洲國(guó)家 1.7%，大洋洲國(guó)家 1.7%，北美洲國(guó)家 1.3%。

特別值得注意的是，主流的大勒索家族都不再使用 C2 服務(wù)器加密技術(shù)了，但還是有很多小眾勒索家族在使用 C2 服務(wù)器的加密技術(shù)。

勒索軟件攻擊的行業(yè)

通過(guò)不同行業(yè)政企機(jī)構(gòu)遭受勒索軟件攻擊的情況分析顯示，能源行業(yè)是遭受攻擊最多的行業(yè)，占比為42.1%，其次為醫(yī)療行業(yè)為22.8%，金融行業(yè)為17.8%，具體分布如下圖所示。需要說(shuō)明的是，遭到攻擊多不代表被感染的設(shè)備多。攻擊量是通過(guò)企業(yè)級(jí)終端安全軟件的監(jiān)測(cè)獲得的。

上圖顯示能源、醫(yī)療衛(wèi)生、金融是遭受勒索軟件攻擊最多的三個(gè)行業(yè)，那么究竟是哪些家族對(duì)這三個(gè)行業(yè)發(fā)動(dòng)的攻擊呢？下表分別給出了每個(gè)行業(yè)遭受勒索軟件攻擊最多的前五個(gè)家族，具體如下表所示?？梢钥闯觯槍?duì)不同行業(yè)，攻擊者者所使用的勒索軟件類型是有很大區(qū)別的。

▲能源、醫(yī)療衛(wèi)生、金融行業(yè)遭受勒索攻擊的家族TOP5

勒索軟件的攻擊特點(diǎn)

如果說(shuō)，掛馬攻擊是2016年勒索軟件攻擊的一大特點(diǎn)，那么2017年，勒索軟件的攻擊則呈現(xiàn)出以下六個(gè)明顯的特點(diǎn)：無(wú)C2服務(wù)器加密技術(shù)流行、攻擊目標(biāo)轉(zhuǎn)向政企機(jī)構(gòu)、攻擊目的開(kāi)始多樣化、勒索軟件平臺(tái)化運(yùn)營(yíng)、影響大的家族贖金相對(duì)少、境外攻擊者多于境內(nèi)攻擊者。

(一)無(wú)C2服務(wù)器加密技術(shù)流行

2017年，我們發(fā)現(xiàn)黑客在對(duì)文件加密的過(guò)程中，一般不再使用C2服務(wù)器了，也就是說(shuō)現(xiàn)在的勒索軟件加密過(guò)程中不需要回傳私鑰了。

這種技術(shù)的加密過(guò)程大致如下：

1）在加密前隨機(jī)生成新的加密密鑰對(duì)（非對(duì)稱公、私鑰）

2）使用該新生成新的公鑰對(duì)文件進(jìn)行加密

3）把新生成的私鑰采用黑客預(yù)埋的公鑰進(jìn)行加密保存在一個(gè)ID文件或嵌入在加密文件里

解密過(guò)程大致如下：

1）通過(guò)郵件或在線提交的方式，提交ID串或加密文件里的加密私鑰（該私鑰一般黑客會(huì)提供工具提?。?；

2）黑客使用保留的預(yù)埋公鑰對(duì)應(yīng)的私鑰解密受害者提交過(guò)來(lái)的私鑰；

3）把解密私鑰或解密工具交付給受害者進(jìn)行解密。

通過(guò)以上過(guò)程可以實(shí)現(xiàn)每個(gè)受害者的解密私鑰都不相同，同時(shí)可以避免聯(lián)網(wǎng)回傳私鑰。這也就意味著不需要聯(lián)網(wǎng)，勒索病毒也可以對(duì)終端完成加密，甚至是在隔離網(wǎng)環(huán)境下，依然可以對(duì)文件和數(shù)據(jù)進(jìn)行加密。顯然 ，這種技術(shù)是針對(duì)采用了各種隔離措施的政企機(jī)構(gòu)所設(shè)計(jì)的。

(二)攻擊目標(biāo)轉(zhuǎn)向政企機(jī)構(gòu)

2017年，勒索軟件的攻擊進(jìn)一步聚焦在高利潤(rùn)目標(biāo)上，其中包括高凈值個(gè)人、連接設(shè)備和企業(yè)服務(wù)器。特別是針對(duì)中小企業(yè)網(wǎng)絡(luò)服務(wù)器的攻擊急劇增長(zhǎng)，已經(jīng)成為2017年勒索軟件攻擊的一大鮮明特征。據(jù)不完全統(tǒng)計(jì)，2017年，約15%的勒索軟件攻擊是針對(duì)中小企業(yè)服務(wù)器發(fā)起的定向攻擊，尤以Crysis、xtbl、wallet、arena、Cobra等家族為代表。

客觀的說(shuō)，中小企業(yè)往往安全架構(gòu)單一，相對(duì)容易被攻破。同時(shí)，勒索軟件以企業(yè)服務(wù)器為攻擊目標(biāo)，往往也更容易獲得高額贖金。例如：針對(duì)Linux服務(wù)器的勒索軟件Rrebus，雖然名氣不大，卻輕松從韓國(guó)Web托管公司Nayana收取了100萬(wàn)美元贖金，是震驚全球的永恒之藍(lán)全部收入的7倍之多。Nayana所以屈服，是因?yàn)槌?50臺(tái)服務(wù)器受到攻擊，上面托管著3400多家中小企業(yè)客戶的站點(diǎn)。這款勒索病毒的覆蓋面有限，韓國(guó)幾乎是唯一的重災(zāi)區(qū)。

(三) 針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊

以WannaCry、類Petya為代表的勒索軟件，則是將關(guān)鍵信息基礎(chǔ)設(shè)施作為了主要攻擊目標(biāo)，這在以往是從未出現(xiàn)過(guò)的嚴(yán)峻情況。關(guān)鍵基礎(chǔ)設(shè)施為社會(huì)生產(chǎn)和居民生活提供公共服務(wù)，保證國(guó)家或地區(qū)社會(huì)經(jīng)濟(jì)活動(dòng)正常進(jìn)行，其一旦被攻擊將嚴(yán)重影響人們的日常生活，危害巨大。

(四)攻擊目的開(kāi)始多樣化

顧名思義，勒索軟件自然就是要勒索錢(qián)財(cái)。但這種傳統(tǒng)認(rèn)知已經(jīng)在2017年被打破。以網(wǎng)絡(luò)破壞、組織破壞為目的的勒索軟件已經(jīng)出現(xiàn)并開(kāi)始流行。其中最為典型的代表就是類Petya。與大多數(shù)勒索軟件攻擊不同，類Petya的代碼不是為了向受害者勒索金錢(qián)，而是要摧毀一切。類Petya病毒的主要攻擊目的就是為了破壞數(shù)據(jù)而不是獲得金錢(qián)。此外，以Spora為代表的竊密型勒索軟件在加密用戶文檔時(shí)，還會(huì)竊取用戶賬號(hào)密碼和鍵盤(pán)輸入等信息，屬于功能復(fù)合型勒索軟件。

這些不僅以“勒索”為目的的“勒索軟件”，實(shí)際上只是結(jié)合了傳統(tǒng)勒索軟件對(duì)文件進(jìn)行加密的技術(shù)方法來(lái)實(shí)現(xiàn)其數(shù)據(jù)破壞、信息竊取等其他攻擊目的。相比于勒索金錢(qián)，這種攻擊將給對(duì)手帶來(lái)更大的破壞和更大的威脅。這不僅會(huì)引發(fā)網(wǎng)絡(luò)犯罪“商業(yè)模式”的新變種，而且會(huì)反過(guò)來(lái)刺激網(wǎng)絡(luò)保險(xiǎn)市場(chǎng)的進(jìn)一步擴(kuò)張。

(五)勒索軟件平臺(tái)化運(yùn)營(yíng)

2017年，勒索軟件已經(jīng)不再是黑客單打獨(dú)斗的產(chǎn)物，而是做成平臺(tái)化的上市服務(wù)，形成了一個(gè)完整的產(chǎn)業(yè)鏈條。在勒索軟件服務(wù)平臺(tái)上，勒索軟件的核心技術(shù)已經(jīng)直接打包封裝好了，小黑客直接購(gòu)買(mǎi)調(diào)用其服務(wù)，即可得到一個(gè)完整的勒索軟件。這種勒索軟件的生成模式我們稱其為RaaS服務(wù)，而黑市中一般用“Satan Ransomware（撒旦勒索軟件）”來(lái)指代由RaaS服務(wù)生成的勒索軟件。

RaaS服務(wù)允許任何犯罪者注冊(cè)一個(gè)帳戶，并創(chuàng)建自己定制版本的撒旦勒索軟件。一旦勒索軟件被創(chuàng)建，那么犯罪分子將決定如何分發(fā)勒索軟件，而RaaS服務(wù)平臺(tái)將處理贖金支付和增加新功能。對(duì)于這項(xiàng)服務(wù)，RaaS服務(wù)平臺(tái)的開(kāi)發(fā)者將收取受害者所支付贖金的30％，購(gòu)買(mǎi)RaaS服務(wù)者將獲取剩余70％的贖金。

(六)境外攻擊者多于境內(nèi)攻擊者

2017年，勒索軟件的攻擊源頭以境外為主。絕大多數(shù)的勒索軟件攻擊者基本都是境外攻擊者，國(guó)內(nèi)攻擊者較少，而且國(guó)內(nèi)攻擊者技術(shù)水平也相對(duì)較低，制作水平也不高。有些國(guó)內(nèi)攻擊者編寫(xiě)的勒索軟件程序甚至存在很多漏洞，因此也比較容易被破解。比如：MCR勒索病毒，我們可以直接獲取到密鑰從而恢復(fù)文件。

恢復(fù)感染文件的方法

感染勒索軟件后，對(duì)于用戶來(lái)說(shuō)，最重要的是能否恢復(fù)被加密的文件。目前來(lái)看，成功支付贖金的受害者都成功的恢復(fù)了被加密的文件?？梢?jiàn)，目前勒索軟件攻擊者的“信用”還是不錯(cuò)的。此外，由于目前仍有相當(dāng)一部分的勒索軟件并未規(guī)范使用加密算法，對(duì)文件進(jìn)行加密，所以，對(duì)于感染了此類勒索軟件的用戶來(lái)說(shuō)，即便不支付贖金，也可以通過(guò)專業(yè)安全機(jī)構(gòu)提供的一些解密工具對(duì)文件進(jìn)行解密。還有一些用戶提前對(duì)重要文件進(jìn)行了備份，所以也最終成功恢復(fù)了文件。

總體來(lái)看，在接受調(diào)研的受害者中，有11.5%的受害者最終成功恢復(fù)了文件，另外88.5%的受害者沒(méi)有恢復(fù)文件。在受害者恢復(fù)文件的方式中，30.8%的受害者是通過(guò)支付贖金恢復(fù)的文件，25.0%的受害者是通過(guò)歷史備份（如云盤(pán)、移動(dòng)硬盤(pán)等）恢復(fù)的文件，23.1%的受害者是通過(guò)解密工具恢復(fù)文件的，21.2%的受害者是通過(guò)專業(yè)人士破解恢復(fù)文件的。

用戶電腦感染勒索軟件后，需要進(jìn)行及時(shí)的清除。但不同的人也會(huì)選擇不同的方法進(jìn)行清除。抽樣調(diào)查結(jié)果顯示：38.9%的受害者通過(guò)重裝系統(tǒng)清除了病毒，18.1% 的受害者通過(guò)安裝安全軟件查殺掉病毒，6.0% 的受害者直接刪除中毒文件。

特別值得注意的是，有 36.9% 的受害者在知道自己電腦已經(jīng)感染勒索軟件后，沒(méi)有采取任何措施清除病毒。這是十分危險(xiǎn)的，因?yàn)楸M管目前已知的絕大多數(shù)勒索軟件的攻擊都是“一次性”的，但也有一部分病毒會(huì)帶有諸如“下載者”這樣的病毒成分，不及時(shí)處理，電腦就有可能會(huì)持續(xù)不斷的遭到更多的木馬病毒的侵害。

另外，研究發(fā)現(xiàn)，受害者選擇采用何種方式清除病毒，與用戶是否支付了贖金沒(méi)有關(guān)系。

還有一點(diǎn)特別值得注意。在我們協(xié)助受害者進(jìn)行電腦檢測(cè)時(shí)發(fā)現(xiàn)，有相當(dāng)數(shù)量的受害者在感染勒索軟件時(shí)，并未安裝任何安全軟件。

調(diào)查中還發(fā)現(xiàn)，對(duì)于沒(méi)有安裝安全軟件的受害者，在感染勒索軟件后會(huì)首先下載并安裝安全軟件進(jìn)行病毒查殺。但是，這種操作是存在一定的風(fēng)險(xiǎn)性的。如果受害者自行清除病毒，可能會(huì)同時(shí)刪除掉被加密的文件和本地保留的密鑰文件，造成文檔無(wú)法解密。

---正經(jīng)建議的分割線---

一、 個(gè)人用戶安全建議

養(yǎng)成良好的安全習(xí)慣

1） 電腦應(yīng)當(dāng)安裝具有云防護(hù)和主動(dòng)防御功能的安全軟件，不隨意退出安全軟件或關(guān)閉防護(hù)功能，對(duì)安全軟件提示的各類風(fēng)險(xiǎn)行為不要輕易放行。

2） 使用安全軟件的第三方打補(bǔ)丁功能對(duì)系統(tǒng)進(jìn)行漏洞管理，第一時(shí)間給操作系統(tǒng)和IE、Flash等常用軟件打好補(bǔ)丁，以免病毒利用漏洞自動(dòng)入侵電腦。 

3） 盡量使用安全瀏覽器，減少遭遇掛馬攻擊的風(fēng)險(xiǎn)。

4） 重要文檔數(shù)據(jù)應(yīng)經(jīng)常做備份，一旦文件損壞或丟失，也可以及時(shí)找回。

減少危險(xiǎn)的上網(wǎng)操作

5） 不要瀏覽來(lái)路不明的色情、賭博等不良信息網(wǎng)站，這些網(wǎng)站經(jīng)常被用于發(fā)動(dòng)掛馬、釣魚(yú)攻擊。

6） 不要輕易打開(kāi)陌生人發(fā)來(lái)的郵件附件或郵件正文中的網(wǎng)址鏈接。

7） 不要輕易打開(kāi)后綴名為js 、vbs、wsf、bat等腳本文件和exe、scr等可執(zhí)行程序，對(duì)于陌生人發(fā)來(lái)的壓縮文件包，更應(yīng)提高警惕，應(yīng)先掃毒后打開(kāi)。

8） 電腦連接移動(dòng)存儲(chǔ)設(shè)備，如U盤(pán)、移動(dòng)硬盤(pán)等，應(yīng)首先使用安全軟件檢測(cè)其安全性。

9） 對(duì)于安全性不確定的文件，可以選擇在安全軟件的沙箱功能中打開(kāi)運(yùn)行，從而避免木馬對(duì)實(shí)際系統(tǒng)的破壞。

二、 企業(yè)用戶安全建議

1）提升新興威脅對(duì)抗能力

傳統(tǒng)基于合規(guī)的防御體系對(duì)于勒索軟件等新興威脅的發(fā)現(xiàn)、檢測(cè)和處理已經(jīng)呈現(xiàn)出力不從心的狀態(tài)。而通過(guò)對(duì)抗式演習(xí)，從安全的技術(shù)、管理和運(yùn)營(yíng)等多個(gè)維度出發(fā)，對(duì)企業(yè)的互聯(lián)網(wǎng)邊界、防御體系及安全運(yùn)營(yíng)制度等多方面進(jìn)行仿真檢驗(yàn)，可以持續(xù)提升企業(yè)對(duì)抗新興威脅的能力。

2）及時(shí)給辦公終端和服務(wù)器打補(bǔ)丁修復(fù)漏洞，包括操作系統(tǒng)以及第三方應(yīng)用的補(bǔ)丁。

3）如果沒(méi)有使用的必要，應(yīng)盡量關(guān)閉不必要的常見(jiàn)網(wǎng)絡(luò)端口，比如：445、3389等。

4）企業(yè)用戶應(yīng)采用足夠復(fù)雜的登錄密碼登陸辦公系統(tǒng)或服務(wù)器，并定期更換密碼。

5）對(duì)重要數(shù)據(jù)和文件及時(shí)進(jìn)行備份。

6）提高安全運(yùn)維人員職業(yè)素養(yǎng)，除工作電腦需要定期進(jìn)行木馬病毒查殺外，如有遠(yuǎn)程家中辦公電腦也需要定期進(jìn)行病毒木馬查殺。

文章由 360 互聯(lián)網(wǎng)安全中心投稿，雷鋒網(wǎng)宅客頻道（微信公眾號(hào)：letshome）編輯。雷鋒網(wǎng)關(guān)注宅客頻道，回復(fù)關(guān)鍵詞：勒索軟件分析報(bào)告，下載報(bào)告原文。

雷鋒網(wǎng)編輯。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。