【51CTO.com原創(chuàng)稿件】在過去幾年里，勒索軟件無疑讓那些惡意軟件的開發(fā)者們賺得盆滿缽滿。勒索軟件的各種典型代表包括：2013 年的 CryptoLocker、2017 年 5 月的 WannaCry 和 2017 年 6 月的 NotPetya。

[[232023]]

它們的受害者包括各大電話公司、英國(guó)國(guó)家醫(yī)療服務(wù)（NHS）、以 FedEx 為首的快遞公司、本田和雷諾之類的汽車制造商、以及烏克蘭國(guó)家機(jī)構(gòu)。

這些攻擊目標(biāo)往往是并無針對(duì)性，而且如果不加以防范的話，大多數(shù)企業(yè)在未來的某個(gè)時(shí)候還可能面臨同類的威脅。

本文分為如下四部分對(duì)勒索軟件進(jìn)行深度剖析：

• 都是“比特幣”惹的禍：勒索軟件基本概念與原理
• “零容忍”地識(shí)別：IT 團(tuán)隊(duì)如何識(shí)別出自己的系統(tǒng)是否已被感染
• 確認(rèn)過眼神，該行動(dòng)了：在發(fā)現(xiàn)中招后應(yīng)采取的各個(gè)步驟
• 未雨綢繆，管好“一畝三分地”：做好防范，減小被攻擊的可能

都是“比特幣”惹的禍

什么是勒索軟件？

勒索軟件是一種快速傳播的惡意軟件，它可以加密計(jì)算機(jī)上的各種文件以換取贖金。

它通過鎖定屏幕、鍵盤或文件，攻擊者能夠阻止或限制用戶訪問自己的系統(tǒng)，并通常以索取付款（一般是比特幣之類的電子貨幣）的方式，換取文件或系統(tǒng)的解鎖密鑰。

在少數(shù)情況下，就算贖金已支付，勒索軟件也無法解鎖文件，或者文件內(nèi)容在加密時(shí)就已被混亂，導(dǎo)致其永遠(yuǎn)無法再被訪問。

同時(shí)，還有另一種風(fēng)險(xiǎn)存在：勒索軟件在收到付款之后，可能在影響過的系統(tǒng)上留下痕跡，以便未來再次發(fā)起加密攻擊。

與比特幣的關(guān)系

眾所周知，比特幣是一種全球性的加密貨幣。由于它能夠提供匿名性，因此常被作為贖金支付的首選方式。

鑒于系統(tǒng)中沒有中間方（如銀行或信用卡公司）的介入，因此交易直接發(fā)生在兩個(gè)用戶之間。

什么是電子贖金條？

與現(xiàn)實(shí)生活中的贖金條或勒索信類似，這種電子提示是給受害者或第三方留下的，告知他們攻擊者已劫持了某些文件。

因此，在惡意軟件體系中，它通常能明確地指示受害者如何通過轉(zhuǎn)賬（一般是比特幣），以換取對(duì)被加密文件的破解或繼續(xù)訪問。

贖金條可以有多種形式，這當(dāng)然會(huì)限制計(jì)算機(jī)的繼續(xù)啟動(dòng)，但最常見有：

• 用戶桌面上新增可打開的文件
• 新的桌面墻紙或
• 引導(dǎo)啟動(dòng)時(shí)的醒目消息

圖 1：WannaCrypt 贖金條示例

那么應(yīng)該付款嗎？

當(dāng)然不！因?yàn)槿绻Ц读粟H金，您最終將助長(zhǎng)該惡意軟件產(chǎn)業(yè)，給他們?nèi)ス舾嗟臒o辜受害者提供資助。

同時(shí)，如果您被識(shí)別為愿意支付贖金的人，您可能在未來再次成為受害者。就算您付清了贖金，實(shí)際上也不能保證一定收到恢復(fù)數(shù)據(jù)的解密密鑰。

此外，一些“假的”勒索軟件變體，甚至都無法有效地真正加密數(shù)據(jù)，何況它們中的一些可能已經(jīng)被破解，并且市面上已有了解密工具。

應(yīng)該引起關(guān)注

在過去的幾年里，勒索軟件已經(jīng)成為了大多數(shù)企業(yè)與個(gè)人系統(tǒng)的重大威脅，一些不那么舉足輕重的電腦也可能會(huì)中招。

而且，因?yàn)榧彝ビ脩舨灰欢ㄓ械轿坏膫浞莶呗?，所以針?duì)個(gè)人電腦的攻擊會(huì)更為常見。

勒索攻擊的后果一般是非常嚴(yán)重的，除了感染可能導(dǎo)致業(yè)務(wù)的中斷之外，勒索軟件攻擊所造成的經(jīng)濟(jì)損失還會(huì)導(dǎo)致：

• 代價(jià)高昂的響應(yīng)與調(diào)查
• 災(zāi)難公關(guān)處理
• 敏感數(shù)據(jù)泄漏的相關(guān)法律行為
• 可能違反 DPA（數(shù)據(jù)保護(hù)法案）或 GDPR（通用數(shù)據(jù)保護(hù)條例）所支付的罰金

最重要的是，企業(yè)可能遭受到嚴(yán)重的聲譽(yù)損失、失去現(xiàn)有或潛在客戶、并長(zhǎng)期削弱其品牌形象。

此外，勒索軟件的目的也并不總是靠贖金牟利。在最近的一些案例中，人們發(fā)現(xiàn)某些勒索軟件只是某些其他惡意目的的“面紗”。

它們給傳統(tǒng)的網(wǎng)絡(luò)攻擊和數(shù)據(jù)盜竊提供了掩護(hù)，通過使得 IT 團(tuán)隊(duì)忙于應(yīng)對(duì)顯著的勒索軟件感染事故，而限制或破壞了系統(tǒng)的整體效率。

如何會(huì)被感染？

勒索軟件最常見的感染媒介是網(wǎng)絡(luò)釣魚，即通過誘惑用戶去點(diǎn)擊電子郵件中的惡意鏈接、附件或社交網(wǎng)站上的信息，電腦和移動(dòng)設(shè)備就會(huì)被感染。

其他感染方式還包括：

• Drive-up 攻擊，受害者打開了掛馬的網(wǎng)站或訪問惡意組件，如點(diǎn)擊廣告時(shí)勒索軟件就會(huì)自動(dòng)進(jìn)行安裝。
• Watering hole攻擊，水坑攻擊，即攻擊者猜測(cè)或觀察一些常被使用的目標(biāo)網(wǎng)站，將惡意軟件植入其中。

“零容忍”地識(shí)別

雖然用戶看到贖金條是最為明顯的被感染跡象，但是勒索軟件攻擊在早期階段并不那么明顯。

惡意軟件作者經(jīng)常將勒索軟件構(gòu)造為：等到加密完成之后，再讓受害者知道，這消耗了受害者及時(shí)限制攻擊影響的寶貴時(shí)間。

在多數(shù)情況下，一旦業(yè)務(wù)環(huán)境受到了感染，勒索軟件就可以通過網(wǎng)絡(luò)共享的途徑，在后臺(tái)有條不紊地加密它有所有權(quán)訪問的各種文件。

勒索軟件的直觀識(shí)別，通常始于用戶報(bào)告 IT 團(tuán)隊(duì)某個(gè)文件已被損壞，或被創(chuàng)建了未知的文件擴(kuò)展名。然后 IT 團(tuán)隊(duì)接手查找感染源，以控制正在進(jìn)行的攻擊，并遏制其影響。

以下部分旨在為 IT 團(tuán)隊(duì)提供指導(dǎo)，以應(yīng)對(duì)正在進(jìn)行的勒索軟件感染、并標(biāo)注出那些是被最終用戶發(fā)現(xiàn)的感染源。

無論感染是正在繼續(xù)還是已經(jīng)停止，這些任務(wù)都可以被并行執(zhí)行，同時(shí)也能通過組合判斷來消除誤報(bào)。

查看安全警報(bào)

請(qǐng)善用已經(jīng)部署到環(huán)境的現(xiàn)有安全工具，包括查看防病毒軟件（AV）的日志，入向電子郵件和代理設(shè)備上的日志警報(bào)。

雖然您會(huì)碰到大量的數(shù)據(jù)，但是這些可以與后面提到的其他任務(wù)相關(guān)聯(lián)，以提高結(jié)果判斷的準(zhǔn)確性。

從用戶處獲取的信息

我們時(shí)常會(huì)忽略通過咨詢 IT 支持人員或用戶來確定事故的根源，因?yàn)樗麄儗?duì)于日常工作中出現(xiàn)的異?，F(xiàn)象會(huì)更敏銳、更具體。

您最好能提供一個(gè)單獨(dú)的聯(lián)系點(diǎn)，如某個(gè)郵件地址組或支持電話號(hào)碼，以便用戶直接報(bào)告問題，從而避免出現(xiàn)各自去頻繁地呼叫 IT 支持人員，而耽誤了他們實(shí)施調(diào)查的寶貴時(shí)間。

我們可以指導(dǎo)用戶按照如下的檢查表，逐條報(bào)告問題：

• 是否有無法被打開/被找到/被損壞的文件？

圖 2：文件無法打開

• 是否出現(xiàn)奇怪?jǐn)U展名的文件？
• 桌面背景是否被改為贖金條字樣？

圖 3：桌面背景被修改

• 是否無法啟動(dòng)并顯示贖金單的計(jì)算機(jī)？

調(diào)查人員可以根據(jù)以下問題來進(jìn)一步詢問用戶：

• 是否在事發(fā)前打開過任何新的文檔？
• 是否點(diǎn)擊了電子郵件中的附件或鏈接？
• 最近是否有任何軟件出現(xiàn)過崩潰？
• 是否訪問了任何陌生網(wǎng)站？
• 網(wǎng)站是否彈出過與加密有關(guān)的窗口？

圖 4：NanoLocker 的示例

雖然這會(huì)產(chǎn)生許多“噪音”，但是這些不但是事故的第一手資料，同時(shí)也能培養(yǎng)用戶觀察與報(bào)告問題的基本意識(shí)。

文件服務(wù)器是否被感染？

單從無法訪問的角度來看，我們無法準(zhǔn)確定位自己的文件共享服務(wù)器或主機(jī)是否已被感染。

因此請(qǐng)遵循以下步驟來予以判斷：

• 在文件服務(wù)器上運(yùn)行防病毒軟件的掃描。
• 查看那些未被共享的路徑，如本地桌面和系統(tǒng)盤。如果這些位置上都有被感染/加密的文件，則文件服務(wù)器很可能已被感染。
• 查詢未知進(jìn)程的列表（最好能與以前采集過的正常基線相比較）。
• 如果將文件服務(wù)器置于脫機(jī)狀態(tài)，加密情況會(huì)停止蔓延嗎？

檢查文件所有權(quán)

為了加密，勒索軟件必須打開并寫入文件，這就意味著文件的所有權(quán)會(huì)被更改成受感染的用戶。

另外，贖金條也同樣需要有受感染帳戶的權(quán)限。識(shí)別所有者的最快方法就是打開被加密文件的屬性，在“詳細(xì)信息”選項(xiàng)卡中查看其所有者。

圖 5：識(shí)別所有者的用戶名

你也可以用如下 PowerShell 命令來進(jìn)行查詢：

Get-Acl ‘.\2017-finance_report.doc.wncry’ | Select Owner 

我們可以通過手頭的用戶名來直接聯(lián)系相關(guān)用戶，然后通過查詢活動(dòng)目錄，以獲知用戶登錄的計(jì)算機(jī)名稱。

雖然活動(dòng)目錄本身本地并不提供此項(xiàng)操作，但是我們可以使用以下的腳本來實(shí)現(xiàn)。當(dāng)然，根據(jù)域的大小不同，該腳本的運(yùn)行時(shí)間也有所差異。

$username = "infected_username" 
$computers = Get-ADComputer -Filter 'Enabled -eq $true' -Properties Enabled | Select Name 
foreach ($comp in $computers) { 
    $Computer = $comp.Name 
    $ping = new-object System.Net.NetworkInformation.Ping 
    $Reply = $null 
    $Reply = $ping.send($Computer) 
if ($Reply.status -like 'Success'){ 
        $proc = gwmi win32_process -computer $Computer -Filter "Name = 'explorer.exe'" 
        ForEach ($p in $proc) { 
            $temp = ($p.GetOwner()).User 
                if ($temp -eq $Username){ 
                    write-host "$Username is logged on $Computer" 
                } 
        } 
} 
} 

另外，用戶名也可以作為篩選的條件，來獲取某個(gè)用戶當(dāng)前所打開的文件列表。

當(dāng)前文件共享會(huì)話

如果攻擊針對(duì)的是網(wǎng)絡(luò)共享，那么對(duì)于打開文件和當(dāng)前會(huì)話的查詢則非常有用。

那些具有多個(gè)連接的文件集會(huì)特別可疑，它們應(yīng)該正在創(chuàng)建未知文件類型的文件。

要想顯示當(dāng)前會(huì)話，請(qǐng)打開“計(jì)算機(jī)管理”，用“系統(tǒng)工具→共享文件夾→會(huì)話”（如圖 6）和“系統(tǒng)工具→共享文件夾→打開文件”（如圖 7）來查看當(dāng)前的各種文件共享和遠(yuǎn)程連接。

圖 6：系統(tǒng)工具→共享文件夾→會(huì)話

圖 7：系統(tǒng)工具→共享文件夾→打開文件

同樣，你也可以使用 PowerShell 命令來查詢打開的文件。

如果已知惡意軟件的文件擴(kuò)展名，您可以添加查詢參數(shù)（-Match“extension_of_encrypted_files”），以限制返回結(jié)果的數(shù)量：

Get-SmbOpenFile | Where-Object -Property ShareRelativePath -Match "extension_of_encrypted_files" | Select-Object ClientUserName,ClientComputerName,Path 

另外，您可以根據(jù)用戶名來篩選 Get-SmbOpenFile 的輸出結(jié)果：

Get-SmbOpenFile | Where-Object -Property ClientUserName -Match "infected_username" | Select-Object ClientComputerName,Path 

關(guān)聯(lián)文件的訪問

識(shí)別出含有被加密的文件的共享路徑，與用戶組屬性之間的關(guān)聯(lián)。例如，如果財(cái)務(wù)共享文件夾里的文件被加密，并且只有財(cái)務(wù)用戶才能有權(quán)訪問，那么感染源很可能使用的是財(cái)務(wù)用戶帳戶。

同時(shí)，如果有多個(gè)受影響的共享路徑，那么確定哪個(gè)用戶組同時(shí)有多個(gè)訪問權(quán)限是至關(guān)重要的。

例如：如果財(cái)務(wù)和銷售的共享盤里的文件都被加密了，那么感染源很可能是財(cái)務(wù)用戶，因?yàn)橹挥兴麄儾块T才有權(quán)訪問這兩個(gè)路徑。

圖 8：財(cái)務(wù)部用戶可訪問兩個(gè)路徑

有針對(duì)性的防病毒定義

您的防病毒供應(yīng)商通?？梢詭椭?，為加密文件所關(guān)聯(lián)的文件擴(kuò)展名創(chuàng)建有針對(duì)性的定義更新（或手動(dòng)創(chuàng)建特征簽名）。這將有助于調(diào)查人員確定哪些系統(tǒng)受到了感染。

定義更新通常需要設(shè)置警報(bào)日志，而不是刪除或隔離文件，否則在能夠解密時(shí)，您的重要文件就已經(jīng)丟失了。

該更新應(yīng)該能夠被推送到所有系統(tǒng)中，以獲取被感染的系統(tǒng)列表，以及識(shí)別感染源。

在與防病毒供應(yīng)商聯(lián)系時(shí)，您可以涉及到如下方面，以便他們對(duì)您當(dāng)前的情況有所了解：

• 描述遇到的問題，包括要訪問和被損壞的文件。
• 描述當(dāng)前針對(duì)感染所采取的措施，包括是否已將主機(jī)與網(wǎng)絡(luò)連接斷開，或已確定了所涉及到的用戶。
• 描述被加密的文件及其擴(kuò)展名。
• 描述被加密的文件位置，是在共享文件夾還是用戶的電腦上。
• 描述業(yè)務(wù)規(guī)模和受影響主機(jī)的數(shù)量。

檢查連接互聯(lián)網(wǎng)的主機(jī)

許多案例證明：那些面向外部提供終端服務(wù)、和遠(yuǎn)程桌面的主機(jī)最容易被惡意軟件所感染。各類攻擊者每天都會(huì)掃描數(shù)百萬個(gè) IP 地址，以尋找易受攻擊的系統(tǒng)。

通過檢查自己系統(tǒng)中這些服務(wù)的最近登錄情況，您可以確定那些頻繁使用網(wǎng)絡(luò)連接的帳戶，并限制感染的橫向傳播。

勒索軟件樣本

在調(diào)查期間，響應(yīng)與分析團(tuán)隊(duì)通常會(huì)將潛在的惡意樣本提交到事先設(shè)計(jì)好的沙箱中，進(jìn)行快速自動(dòng)的分析。這在很多情況下為分析工作提供了一個(gè)很好的起點(diǎn)。

名為 CAPE（Configuration and Payload Extraction，配置和有效負(fù)載提取）的開源工具會(huì)專門構(gòu)建出上下文環(huán)境、并快速地分析輸入樣本是否為惡意。

如果在目標(biāo)網(wǎng)絡(luò)中發(fā)現(xiàn)了未知的可執(zhí)行文件，你還能夠?qū)⑵渖蟼鞯?https://cape.contextis.com/submit/ 進(jìn)行深入分析。

以下是特別針對(duì)勒索軟件的 CAPE 公開實(shí)例。它們分別展示了將文件寫入磁盤，以及更改用戶文檔擴(kuò)展名等行為。

• WannaCryptor: https://cape.contextis.com/analysis/7240/
• CryptoShield: https://cape.contextis.com/analysis/4509/
• Locky: https://cape.contextis.com/analysis/3579/
• BadRabbit: https://cape.contextis.com/analysis/3007/
• NanoLocker: https://cape.contextis.com/analysis/806/

如果您想構(gòu)建自己的 CAPE 實(shí)例，也可以使用 GitHub 上的鏈接：https：//github.com/ctxis/CAPE

確認(rèn)過眼神，該行動(dòng)了

無論是您自己在電腦上發(fā)現(xiàn)了令人討厭的贖金條，還是您的員工報(bào)告了可疑的感染，您都需要迅速采取一些步驟來控制和修復(fù)，以減少損失。

下面分兩部分來具體介紹：

• 針對(duì)企業(yè)內(nèi)部 C 級(jí)別的人員，給出一般性的建議和采納的步驟，最大限度地減輕攻擊的后果。
• 針對(duì)內(nèi)部 IT 團(tuán)隊(duì)的具體處理實(shí)務(wù)，大家可以直接對(duì)號(hào)入座。

給 C 級(jí)別的建議

不要驚慌，不要付款：

• 要知道，在您之前許多組織都遇到過，所以請(qǐng)深吸一口氣，這并不意味著您明天會(huì)上頭條。
• 不要草率為了面子而支付贖金，在很多情況下，贖金條上的鏈接很可能會(huì)構(gòu)造出另一個(gè)網(wǎng)絡(luò)釣魚的機(jī)制。

通知您的 IT 團(tuán)隊(duì)，并考慮獲得外部幫助：

• 立即通知您的 IT 團(tuán)隊(duì)，以確保盡快采取措施。
• 您也可以考慮打電話給外部專家。在很多情況下，具有網(wǎng)絡(luò)事件響應(yīng)經(jīng)驗(yàn)的專業(yè)安全公司會(huì)比內(nèi)部 IT 團(tuán)隊(duì)更擅長(zhǎng)處理此類事件。他們將能夠調(diào)查問題的嚴(yán)重程度，并確定下一步需要采取的措施。

迅速行動(dòng)，并制定公關(guān)計(jì)劃：

• 迅速的響應(yīng)對(duì)于減少攻擊的進(jìn)一步影響是至關(guān)重要的。建議組織針對(duì)此類攻擊制定演習(xí)計(jì)劃，以確保其有效性。
• 及時(shí)將信息傳遞給外部媒體。建議創(chuàng)建適當(dāng)?shù)耐ㄐ拍０寤蚵暶鳎员惆葱璋l(fā)布。

確保符合法規(guī)和法律的要求：

• 注意：勒索軟件也可能會(huì)影響到您的部分客戶數(shù)據(jù)。在這種情況下，您需要遵守相應(yīng)的監(jiān)管和法律要求，如數(shù)據(jù)保護(hù)法（DPA）和通用數(shù)據(jù)保護(hù)條例（GDPR）。

這就意味著您必須在意識(shí)到數(shù)據(jù)泄露的 72 小時(shí)內(nèi)通知主管部門，以及受影響的個(gè)人，以避免受到處罰。

給 IT 團(tuán)隊(duì)的技術(shù)指導(dǎo)

主要任務(wù)

下面列出了可應(yīng)用于勒索軟件感染場(chǎng)景的各項(xiàng)技術(shù)步驟：

與網(wǎng)絡(luò)進(jìn)行物理隔離，并關(guān)閉已識(shí)別的主機(jī)：這是一個(gè)關(guān)鍵性的步驟，應(yīng)該盡快完成。鑒于最近蠕蟲類勒索軟件的流行（如 WannaCry 利用了 Windows 核心組件中的漏洞），如果缺少此步，企業(yè)將“如臨大敵”。

在實(shí)踐中，我們應(yīng)該執(zhí)行一些經(jīng)過了充分測(cè)試的流程，如某種網(wǎng)絡(luò)訪問控制（NAC）的方案。

在需要時(shí)，可將主機(jī)與網(wǎng)絡(luò)的連接斷開，并提醒用戶會(huì)出現(xiàn)無法訪問共享盤的情況。

從網(wǎng)絡(luò)中斷開被加密的共享盤，或禁用寫入權(quán)限：此舉可以抑制任何新的文件被加密。

如果網(wǎng)絡(luò)共享確實(shí)無法斷開的話，請(qǐng)盡可能地根據(jù)調(diào)查結(jié)果撤銷對(duì)共享盤的寫入權(quán)限，以便用戶仍可以只讀的方式訪問幸存的文件。

下一步是要確保加密進(jìn)程已被停止。如果沒有，則感染很可能在于服務(wù)器端，因此應(yīng)當(dāng)及時(shí)關(guān)閉服務(wù)器。

次要任務(wù)

為了限制感染的傳播范圍，并隔離源主機(jī)，我們可以采取如下步驟來予以減緩：

識(shí)別勒索軟件家族：用沙箱進(jìn)行分析，識(shí)別勒索軟件的變種與類型會(huì)是一個(gè)復(fù)雜的過程，因此我們需要用到各種工具和信息。

其中包括：Context 的 CAPE（https://cape.contextis.com/）沙箱，它提供對(duì)惡意軟件樣本的詳細(xì)技術(shù)分析；Chronicles 的 Virus Total 則（https://www.virustotal.com/）提供了更為全面的描述。

用 Google 檢查文件擴(kuò)展名：如果該軟件已經(jīng)存在了一段時(shí)間，那么在網(wǎng)上會(huì)有大量可用的信息。我們通過搜索文件擴(kuò)展名，就能識(shí)別出勒索軟件的家族類型。

另外，通過諸如 https://id-ransomware.malwarehunterteam.com/ 這樣的第三方網(wǎng)站，我們也能夠快速地通過勒索條、加密文件的樣本來確定被感染的類型。

清理：在重新連接回網(wǎng)絡(luò)之前，將主機(jī)恢復(fù)到之前的“干凈”狀態(tài)是非常必要的。

具體操作包括：完全擦除干凈系統(tǒng)，從“黃金映像”中恢復(fù)，而不僅僅只是刪除已知的感染文件那么簡(jiǎn)單。

隨著虛機(jī)技術(shù)的發(fā)展，現(xiàn)在重新鏡像的速度非?？?，并且這是首選的可靠清理方法，尤其是在面對(duì)惡意軟件已影響到硬盤引導(dǎo)扇區(qū)的時(shí)候。

恢復(fù)到已知安全日期的文件：公司的備份策略會(huì)影響到恢復(fù)的進(jìn)程，因此需要有一個(gè)經(jīng)過良好測(cè)試與實(shí)施的日常備份記錄，以供不時(shí)之需。

另外如下面鏈接所示，一些防病毒供應(yīng)商或免費(fèi)工具網(wǎng)站也能提供第三方工具，以識(shí)別勒索軟件家族中某些加密機(jī)制的弱點(diǎn)，并實(shí)現(xiàn)解密的服務(wù)。

https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor

當(dāng)然，如果發(fā)現(xiàn)備份記錄失效的話，我們還可以將被加密的文件經(jīng)過掃描之后，再傳輸?shù)揭粋€(gè)帶有最新防病毒軟件的干凈系統(tǒng)之上，以便后續(xù)處理。

未雨綢繆，管好“一畝三分地”

只要惡意軟件作者能夠持續(xù)獲利，那么勒索軟件的攻擊程度與范圍就會(huì)不降反升。因此，企業(yè)的安全團(tuán)隊(duì)?wèi)?yīng)時(shí)刻做好各種事件響應(yīng)的準(zhǔn)備。

下面我們列出了一些有助于最大限度地降低業(yè)務(wù)威脅的建議：

• 采取切實(shí)可行的預(yù)防措施，持續(xù)保護(hù) IT 基礎(chǔ)架構(gòu)及其持有的數(shù)據(jù)，例如：我們可以模擬運(yùn)行各種攻擊的場(chǎng)景，以測(cè)試和評(píng)估自身的安全性。
• 采用“深度防御（defence-in-depth）”的策略，以減少風(fēng)險(xiǎn)的暴露、并阻止惡意軟件在內(nèi)網(wǎng)中的傳播。

其中包括：防火墻和電子郵件安全產(chǎn)品可以阻止已知的惡意發(fā)件人、并去除已知的惡意附件類型；瀏覽器中的廣告攔截器和腳本攔截器能夠在用戶端各司其職。

而新的“沙盒”隔離技術(shù)則可以阻止從釣魚鏈接、惡意廣告、網(wǎng)絡(luò)驅(qū)動(dòng)器和“水坑”中下載并執(zhí)行勒索軟件。

• 實(shí)施嚴(yán)格的備份制度、持續(xù)備份數(shù)據(jù)、并將其存儲(chǔ)到受感染的系統(tǒng)所無法訪問到的多個(gè)位置（包括脫機(jī)），以確保在發(fā)生攻擊時(shí)不會(huì)造成數(shù)據(jù)的丟失。同時(shí)，我們還應(yīng)定期測(cè)試這些系統(tǒng)的訪問性，而且最重要的是定期測(cè)試備份的完整性和恢復(fù)流程的可行性。
• 通過定期更新系統(tǒng)的補(bǔ)丁程序、并消減漏洞被利用的可能性，來保障自己網(wǎng)絡(luò)與系統(tǒng)的安全態(tài)勢(shì)。
• 通過考慮如何增強(qiáng)技術(shù)系統(tǒng)與流程的恢復(fù)能力，來為最糟糕情況的發(fā)生做好準(zhǔn)備，進(jìn)而保證您的關(guān)鍵系統(tǒng)在被勒索軟件鎖定時(shí)，仍能繼續(xù)運(yùn)作。
• 制定事件的響應(yīng)計(jì)劃，并定期進(jìn)行測(cè)試，以不斷尋求改進(jìn)。當(dāng)然，如果您沒有此項(xiàng)內(nèi)部技能的話，可以外包或?qū)で笸獠侩娔X取證專家的服務(wù)。

同時(shí)，對(duì)于違規(guī)所可能引起的公眾利益受損，您應(yīng)當(dāng)確保有適當(dāng)?shù)臏贤ㄓ?jì)劃，以及具有及時(shí)通知媒體的能力。

• 開展員工意識(shí)培訓(xùn)。確保您的員工充分了解自己可能面臨的威脅，和常見的攻擊方式（如：釣魚郵件等）。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】