例如，如果系統(tǒng)管理員賬號(hào)的口令強(qiáng)度太弱，攻擊者就可以使用自動(dòng)化工具暴力猜測密碼，進(jìn)而通過開放的RDP服務(wù)(遠(yuǎn)程桌面服務(wù))直接管理服務(wù)器，注入惡意程序。

4. 社會(huì)工程學(xué)

利用人的弱點(diǎn)、習(xí)慣，結(jié)合各類工具漏洞、技術(shù)手段誘使受害者泄露某些機(jī)密或者運(yùn)行某些惡意程序。

無論是基于“鎖”還是基于加密的勒索病毒，它所利用的技術(shù)和機(jī)制均是出于安全目的設(shè)計(jì)的，在不知曉密鑰/密碼信息的前提去破譯其中的內(nèi)容，均存在一定的技術(shù)和時(shí)間成本。除非攻擊者愿意提供相應(yīng)的敏感信息，被勒索病毒所綁架的數(shù)據(jù)基本上無法進(jìn)行恢復(fù)，從而造成嚴(yán)重的數(shù)據(jù)丟失。在缺少備份文件的情況，它會(huì)導(dǎo)致整個(gè)系統(tǒng)完全癱瘓甚至報(bào)廢。

5. 勒索病毒對(duì)企業(yè)數(shù)據(jù)安全的沖擊

隨著信息技術(shù)的進(jìn)步，企業(yè)在運(yùn)營過程中對(duì)ERP、CRM、OA等智能辦公系統(tǒng)的核心數(shù)據(jù)的依賴性越來越高。所謂“三分技術(shù)、七分管理、十二分?jǐn)?shù)據(jù)”，充分說明了數(shù)據(jù)在信息化系統(tǒng)中的核心地位和作用。然而，肆意的勒索病毒成為企業(yè)數(shù)據(jù)安全的噩夢。

2017年，美國醫(yī)藥巨頭默克集團(tuán)(Merck)遭受嚴(yán)重的勒索病毒攻擊，在銷售方面造成的損失超過1.35億美元，而其他損失超過1.75億美元，總計(jì)直接損失3.1億美元。全球最大的船運(yùn)公司馬士基集團(tuán)(Maersk)遭受NonPetya勒索病毒攻擊，造成超過4000臺(tái)業(yè)務(wù)服務(wù)器、45000臺(tái)業(yè)務(wù)終端被惡意加密勒索，迫使業(yè)務(wù)一度暫停，造成超過3億美元直接損失。與此同時(shí)，全球最大的快遞運(yùn)輸公司聯(lián)邦快遞(Fedex)也遭受同類勒索病毒攻擊，造成累計(jì)3億美元的直接損失。除此之外，烏克蘭航空、利潔時(shí)集團(tuán)、美國印第安納州州立醫(yī)院等大量企業(yè)均遭受勒索病毒侵害，造成不同程度經(jīng)濟(jì)、業(yè)務(wù)損失。

放眼國內(nèi)，隨著去年WannaCry病毒爆發(fā)，勒索病毒逐步開始被人們所熟知，但是在面臨嚴(yán)重的企業(yè)數(shù)據(jù)安全挑戰(zhàn)的時(shí)候大家仍然無動(dòng)于衷，導(dǎo)致遭受攻擊后追悔莫及。國內(nèi)諸多企事業(yè)單位、上市公司、大中型民營企業(yè)均遭受嚴(yán)重的勒索病毒攻擊，且相應(yīng)案例仍在持續(xù)上升，損失也越來越大。我們通過大量勒索病毒攻擊事件應(yīng)急響應(yīng)處置后，總結(jié)出如下幾點(diǎn)最容易感染勒索病毒的安全隱患：

• 業(yè)務(wù)便利，內(nèi)部辦公系統(tǒng)安全措施不到位情況下直接對(duì)外開放;
• 運(yùn)維方便，將內(nèi)部系統(tǒng)的控制服務(wù)、數(shù)據(jù)庫管理端口對(duì)外開放;
• 操作系統(tǒng)管理、數(shù)據(jù)庫管理、應(yīng)用服務(wù)、業(yè)務(wù)系統(tǒng)存在弱口令;
• 操作系統(tǒng)及應(yīng)用長期不更新，不打補(bǔ)丁，不裝殺毒軟件;
• 辦公網(wǎng)絡(luò)與服務(wù)器處在同網(wǎng)段，無任何隔離措施;
• 敏感服務(wù)器無任何安全防護(hù)系統(tǒng);
• 無數(shù)據(jù)備份措施或同機(jī)備份;
• 服務(wù)器上U盤等介質(zhì)亂插;
• 無專職網(wǎng)絡(luò)管理員。

勒索病毒趨勢

勒索病毒自最早在1989年發(fā)現(xiàn)的AIDS木馬病毒已經(jīng)逐步演變成大量可自我復(fù)制、主動(dòng)提權(quán)、內(nèi)網(wǎng)傳播等高級(jí)功能的病毒，尤其2012年后，相應(yīng)的變種數(shù)量逐年增加，逐步形成巨大黑色產(chǎn)業(yè)鏈。安恒信息研究院研究員通過大量統(tǒng)計(jì)分析發(fā)現(xiàn)，大量樣本均利用了較近爆發(fā)的Windows系統(tǒng)嚴(yán)重安全漏洞，能夠自動(dòng)感染、傳播，對(duì)服務(wù)器、工作終端均有嚴(yán)重危害。

專業(yè)測評(píng)機(jī)構(gòu)根據(jù)近幾年全球勒索病毒對(duì)企業(yè)數(shù)據(jù)影響造成的損失測算，2019年全球因勒索病毒損失將達(dá)到115億美元，這個(gè)數(shù)字相當(dāng)于一個(gè)中等發(fā)達(dá)水平國家全年GDP，損失之大，碾壓其他計(jì)算機(jī)病毒。企業(yè)信息化作為企業(yè)可持續(xù)性發(fā)展的基本條件，其重要的涉及生產(chǎn)制造、研發(fā)創(chuàng)新、營銷市場、財(cái)務(wù)人力、采購審計(jì)等CRM、ERP、OA等辦公系統(tǒng)都將是眾矢之的，一旦感染，損失會(huì)非常慘重。

勒索病毒防范措施與應(yīng)急處置

首先要做的是事前的防護(hù)和預(yù)警，在勒索病毒發(fā)作之時(shí)，一切為時(shí)已晚。可以從以下幾個(gè)方面進(jìn)行勒索病毒安全防范：

1. 應(yīng)用程序方面

進(jìn)行數(shù)據(jù)備份時(shí)，至少應(yīng)該做到異機(jī)備份，避免服務(wù)器在遭受攻擊后系統(tǒng)完全癱瘓無法恢復(fù)。最好能有多個(gè)備份，包括熱備注、災(zāi)備等。

• 定期關(guān)注相關(guān)應(yīng)用程序廠商的公告和漏洞提醒，在測試后及時(shí)更新，避免攻擊者通過Xday漏洞攻擊服務(wù)器。
• 定期對(duì)應(yīng)用程序進(jìn)行滲透測試等，確保應(yīng)用程序的安全性。如果是第三方軟件，可以延長測試周期。
• 對(duì)應(yīng)用程序內(nèi)的口令進(jìn)行管理，同時(shí)做好應(yīng)用程序?qū)徲?jì)信息的保存。

2. 操作系統(tǒng)方面

• 對(duì)操作系統(tǒng)進(jìn)行加固檢查。
• 及時(shí)更新關(guān)鍵操作系統(tǒng)補(bǔ)丁。
• 定期使用漏洞掃描工具對(duì)操作系統(tǒng)進(jìn)行檢測，發(fā)現(xiàn)潛在的已知或未知漏洞
• 保存相關(guān)審計(jì)數(shù)據(jù)
• 安裝終端防護(hù)軟件
• 網(wǎng)絡(luò)安全解決方案
• 部署防火墻、應(yīng)用防火墻、入侵防護(hù)系統(tǒng)(IPS)等專用的安全設(shè)備，如果有條件可以追加部署其他安全設(shè)備和審計(jì)設(shè)備，例如數(shù)據(jù)庫審計(jì)設(shè)備、日志審計(jì)設(shè)備等。

3. 管理的角度

組織安全意識(shí)和應(yīng)急響應(yīng)的相關(guān)培訓(xùn)，提高個(gè)人安全意識(shí)。有條件的話，對(duì)內(nèi)部操作進(jìn)行記錄以方便審計(jì)。

安全不是絕對(duì)的，百密總有一疏。如果真的被勒索病毒綁架，我們就需要盡可能地減少損失。

首先是將受影響的服務(wù)器從網(wǎng)絡(luò)上下線，避免病毒進(jìn)一步擴(kuò)散，控制影響范圍和損失。立即聯(lián)系安全廠商和專業(yè)人員進(jìn)行處理。

如果是處于勒索病毒發(fā)作的初期(未能加密完系統(tǒng)所有的數(shù)據(jù))，可以通過中斷勒索病毒程序來減少損失，比較直接簡單的方式是斷電。盡管這不可避免會(huì)產(chǎn)生一些額外的數(shù)據(jù)丟失風(fēng)險(xiǎn)(緩存、內(nèi)存中的數(shù)據(jù))，但是基本上可以防止勒索病毒進(jìn)一步加密系統(tǒng)文件，破壞整個(gè)系統(tǒng)。之后使用PE工具讀取磁盤、備份所有數(shù)據(jù)并嘗試恢復(fù)。另一種方式是利用一些安全工具臨時(shí)刪除運(yùn)行中勒索病毒，對(duì)數(shù)據(jù)進(jìn)行緊急備份，后期可以分析提取出其中有價(jià)值的數(shù)據(jù)，但是有可能會(huì)造成操作系統(tǒng)死機(jī)等其他情況。

如果勒索病毒已經(jīng)運(yùn)行了一段時(shí)間，完成了加密加鎖，這種情況下需要保存?zhèn)浞葸M(jìn)一步分析確認(rèn)病毒的加密方式、是否存在未被加密的有效數(shù)據(jù)、是否能夠恢復(fù)等。

在嘗試還原被勒索病毒綁架的數(shù)據(jù)之前，還需要盡可能的確認(rèn)攻擊者的攻擊路徑，避免上線的熱備份服務(wù)器在短時(shí)間再次遭受攻擊。