勒索病毒介绍

勒索病毒，是一种新型电脑病毒，重要以邮件、程序木马的情势进行传播。该病毒性子恶劣、危害极大，一旦感染将给路段带来营业终端，数据被加密等无法估量的损失，且该病毒具备传染性，可能对网络中所有设备进行攻击，造成感染。

   投毒步骤

①攻击者发现了暴露在公网上的设备A

②通过代理服务器进行慢速爆破避免被安全设备识别

③取得设备A控制权后继承渗透服务器A

④攻陷服务器A后发现是测试环境通过远控继承横向扩散

⑤当发现被攻陷的服务器中存在有价值的信息后打开加密开关

        预防手段

 基础安全加固

 资产安全优化

针对内网的资产、威胁及风险，进行持续性检测；基于威胁情报驱动，增强云端、边界、端点的联动，实现防御、检测、相应闭环。

对弱密码情况进行处置，保证密码的复杂度，降低被破解密码入侵的风险

定期升级体系或应用至最新状况，并全盘进行查杀，对体系进行深度清理，保证体系的安全性。

 安全运营提拔

定期备份紧张资料以及数据

进行资产梳理，确保所有主机资产都有用记录并准时进行主机安装更新。

进步安全意识避免点击钓鱼邮件中的恶意Office文档和链接

应该确保安装专业的反病毒产品，而不仅仅只安装“电脑管家”、“电脑助手”等辅助类工具。最紧张的是，必要确保这些专业的反病毒产品实时运行，并定期更新。

不要轻信网上的“专业恢复公司”，假如木已成舟，确认悉数文件已经被加密，此时应该追求专业安全人员的帮助，切忌盲目使用搜索引擎查找网上的所谓解决方案，以及不要轻信网上的“专业恢复公司”。部分勒索软件，攻击者不仅尝试感染用户电脑，并且还在网络上以“专业的勒索软件消灭公司”为名义发布广告。

        处理手段

应急处理——>克制处理——>根除

      应急处理

1. 发现文件被加密或者弹出勒索相干提醒时，不要立即重启电脑，防止病毒发作及扩散；

2. 确认主机遭受勒索病毒后，应对受影响的主机及其所在区域进行断网隔离，方法不限于关机、禁用有线网卡、无线网卡或拔掉网线、防止感染其他终端，并立即向上级主管部门报告；

3. 评估病毒影响范围并一一排查确认，增强全网的访问控制策略（如防火墙策略等），防止病毒扩散。

4. 若数据较为紧张的情况下，可临时先不要删除或损坏被加密数据、并确认是否有能解决的方案。

    克制处理

5. 下线中毒设备，使用备用设备（确认已提前打好补丁并将杀毒软件升级至最新版本）尽快进行营业恢复；

6. 对辖内体系未中毒的设备进行补丁修复及安全加固，以免勒索病毒横向扩展，影响更大范围。

    根除

   1.   针对中毒设备进行全盘格式化，并重装操作体系，并从备份文件中恢复相干软件及数据资料。

    小提醒

随着勒索软件影响面的渐渐扩大，一些着名安全公司也纷纷根据此前获取的威胁情报，开发出了针对勒索软件的专门恢复工具。在发现感染后，可以尝试使用这些公司提供的工具。必要细致的有两点，一是务需要从这些着名安全公司的官网下载工具并使用。第二是，尽管目前存在肯定数量的恢复工具，但仍然无法确保肯定能实现恢复，甚至成功恢复的概率是偏低的，因此要有响应的生理预期。下面汇总了着名厂商的恢复工具，列举如下作为参考：

（1）     卡巴斯基免费勒索软件解密器：

https://noransom.kaspersky.com/

（2）     Avast的免费勒索软件解密工具：

https://www.avast.com/zh-cn/ransomware-decryption-tools

（3）     反病毒厂商EMSISOFT的解密工具：

https://www.emsisoft.com/decrypter/

（4）     着名安全研究团队MalwareTeam的工具：

https://id-ransomware.malwarehunterteam.com/

（5）     Nomoreransom勒索软件解密工具集：

https://www.nomoreransom.org/zh/decryption-tools.html