勒索病毒介绍

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给路段带来业务终端，数据被加密等无法估量的损失，且该病毒具备传染性，可能对网络中所有设备进行攻击，造成感染。

   投毒步骤

①攻击者发现了暴露在公网上的设备A

②通过代理服务器进行慢速爆破避免被安全设备识别

③取得设备A控制权后继续渗透服务器A

④攻陷服务器A后发现是测试环境通过远控继续横向扩散

⑤当发现被攻陷的服务器中存在有价值的信息后打开加密开关

        预防手段

 基础安全加固

 资产安全优化

针对内网的资产、威胁及风险，进行持续性检测；基于威胁情报驱动，加强云端、边界、端点的联动，实现防御、检测、响应闭环。

对弱密码情况进行处置，保证密码的复杂度，降低被破解密码入侵的风险

定期升级系统或应用至最新状态，并全盘进行查杀，对系统进行深度清理，保证系统的安全性。

 安全运营提升

定期备份重要资料以及数据

进行资产梳理，确保所有主机资产都有效记录并定时进行主机安装更新。

提高安全意识避免点击钓鱼邮件中的恶意Office文档和链接

应该确保安装专业的反病毒产品，而不仅仅只安装“电脑管家”、“电脑助手”等辅助类工具。最重要的是，需要确保这些专业的反病毒产品实时运行，并定期更新。

不要轻信网上的“专业恢复公司”，如果木已成舟，确认全部文件已经被加密，此时应该寻求专业安全人员的帮助，切忌盲目使用搜索引擎查找网上的所谓解决方案，以及不要轻信网上的“专业恢复公司”。部分勒索软件，攻击者不仅尝试感染用户电脑，并且还在网络上以“专业的勒索软件清除公司”为名义发布广告。

        处理手段

应急处理——>抑制处理——>根除

      应急处理

1. 发现文件被加密或者弹出勒索相关提示时，不要立即重启电脑，防止病毒发作及扩散；

2. 确认主机遭受勒索病毒后，应对受影响的主机及其所在区域进行断网隔离，方法不限于关机、禁用有线网卡、无线网卡或拔掉网线、防止感染其他终端，并立即向上级主管部门报告；

3. 评估病毒影响范围并逐一排查确认，加强全网的访问控制策略（如防火墙策略等），防止病毒扩散。

4. 若数据较为重要的情况下，可暂时先不要删除或损坏被加密数据、并确认是否有能解决的方案。

    抑制处理

5. 下线中毒设备，使用备用设备（确认已提前打好补丁并将杀毒软件升级至最新版本）尽快进行业务恢复；

6. 对辖内系统未中毒的设备进行补丁修复及安全加固，以免勒索病毒横向扩展，影响更大范围。

    根除

   1.   针对中毒设备进行全盘格式化，并重装操作系统，并从备份文件中恢复相关软件及数据资料。

    小提示

随着勒索软件影响面的逐渐扩大，一些知名安全公司也纷纷根据此前获取的威胁情报，开发出了针对勒索软件的专门恢复工具。在发现感染后，可以尝试使用这些公司提供的工具。需要注意的有两点，一是务必要从这些知名安全公司的官网下载工具并使用。第二是，尽管目前存在一定数量的恢复工具，但仍然无法确保一定能实现恢复，甚至成功恢复的概率是偏低的，因此要有相应的心理预期。下面汇总了知名厂商的恢复工具，列举如下作为参考：

（1）     卡巴斯基免费勒索软件解密器：

https://noransom.kaspersky.com/

（2）     Avast的免费勒索软件解密工具：

https://www.avast.com/zh-cn/ransomware-decryption-tools

（3）     反病毒厂商EMSISOFT的解密工具：

https://www.emsisoft.com/decrypter/

（4）     知名安全研究团队MalwareTeam的工具：

https://id-ransomware.malwarehunterteam.com/

（5）     Nomoreransom勒索软件解密工具集：

https://www.nomoreransom.org/zh/decryption-tools.html