勒索病毒预防指南

点击蓝字

勒索病毒是黑客通过锁屏、加密文件等方式劫持用户文件并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞、网络钓鱼等方式，向受害电脑或服务器植入病毒，进以加密硬盘上的关键文档乃至整个硬盘，然后向受害者索要数额不等的赎金。近期，勒索病毒攻击事件频发。一系列攻击严重影响金融、能源、交通等领域服务于生产生活的信息系统正常运转，危害极大，一旦感染将给企业带来无法估量的损失。

攻击者利用弱口令，远程代码执行等网络产品安全漏洞，攻击入侵用户内部网络，获取管理员权限，进而主动传播勒索病毒。目前，攻击者通常利用己公开且已发布补丁的漏洞，通过扫描发现未及时修补漏洞的设备，利用漏洞攻击入侵并部署勒索病毒，实施勒索行为。

攻击者将勒索病毒内嵌至钓鱼邮件的文档、图片等附件中，或将勒索病毒恶意链接写入钓鱼邮件正文中，通过网络钓鱼攻击传播勒索病毒。一旦用户打开邮件附件，或点击恶意链接，勒索病毒将自动加载、安装和运行，实现实施勒索病毒攻击的目的。

攻击者通过网络攻击网站，以在网站植入恶意代码的方式挂马，或通过主动搭建包含恶意代码的网站，诱导用户访问网站并触发恶意代码，劫持用户当前访问页面至勒索病毒下载链接并执行，进而向用户设备植入勒索病毒。

攻击者通过隐藏U盘、移动硬盘等移动存储介质原有文件，创建与移动存储介质盘符、图标等相同的快捷方式，一旦用户点击，自动运行勒索病毒，或运行专门用于收集和回传设备信息的木马程序，便于未来实施针对性的勒索病毒攻击行为。

攻击者利用软件供应商与软件用户间的信任关系，通过攻击入侵软件供应商相关服务器设备，利用软件供应链分发、更新等机制，在合法软件正常传播、升级等过程中，对合法软件进行劫持或篡改，规避用户网络安全防护机制，传播勒索病毒。

攻击者通常利用弱口令、暴力破解等方式获取攻击目标服务器远程登录用户名和密码，进而通过远程桌面协议登录服务器并植入勒索病毒。同时，攻击者一旦成功登录服务器，获得服务器控制权限，可以服务器为攻击跳板，在用户内部网络进一步传播勒索病毒。

   / 边界突破

一般攻击者通过信息收集后用RDP爆破、钓鱼邮件、Web漏洞利用、水坑站点等方式实现从外网到内网的传播。其中RDP爆破因其低成本、并且可以直接获取到主机权限的优势，是攻击者主要利用方式。钓鱼邮件攻击则是攻击者以广撒网的方式大量传播垃圾邮件、钓鱼邮件，一旦收件人打开邮件附件或者点击邮件中的链接地址，勒索软件会以用户看不见的形式在后台静默安装，实施勒索。Web漏洞利用一般是攻击者利用页面上的恶意广告验证用户的浏览器是否有可利用的漏洞，如果存在，用户正常访问页面时，攻击者利用漏洞将勒索软件下载到用户的主机。

边界突破是勒索攻击第一步，也是防护过程中关键的一步，防守方需提前识别内网风险，提前进行隐患消除。

   / 病毒投放

成功入侵到内网后，攻击者开始向目标主机下发提权程序、勒索加密密钥等，实现恶意程序安装与C&C通信。在这个阶段，防守方需要加强日常威胁分析手段，从而在病毒投放阶段提前检测出威胁。

   /加密勒索

攻击者执行加密程序对目标主机的数据进行加密，并进行勒索弹窗提示等，新的窃密勒索模式则在数据加密前将数据上传到攻击者服务器，利用数据泄密风险向受害者施压，从而提高勒索成功率的目的。

   /横向传播

为了扩大战果范围，攻击者往往会在已经入侵内部网络的情况下，通过实施内部鱼叉式网络钓鱼、利用文件夹共享协议等方式在攻击目标内部网络横向移动，或利用勒索病毒本身类蠕虫的功能，进一步扩大勒索病毒感染范围和攻击影响。

如何有效预防勒索病毒攻击