例如，如果系統(tǒng)管理員賬號的口令強度太弱，攻擊者就可以使用自動化工具暴力猜測密碼，進而通過開放的RDP服務(遠程桌面服務)直接管理服務器，注入惡意程序。

4. 社會工程學

利用人的弱點、習慣，結合各類工具漏洞、技術手段誘使受害者泄露某些機密或者運行某些惡意程序。

無論是基于“鎖”還是基于加密的勒索病毒，它所利用的技術和機制均是出于安全目的設計的，在不知曉密鑰/密碼信息的前提去破譯其中的內容，均存在一定的技術和時間成本。除非攻擊者愿意提供相應的敏感信息，被勒索病毒所綁架的數(shù)據(jù)基本上無法進行恢復，從而造成嚴重的數(shù)據(jù)丟失。在缺少備份文件的情況，它會導致整個系統(tǒng)完全癱瘓甚至報廢。

5. 勒索病毒對企業(yè)數(shù)據(jù)安全的沖擊

隨著信息技術的進步，企業(yè)在運營過程中對ERP、CRM、OA等智能辦公系統(tǒng)的核心數(shù)據(jù)的依賴性越來越高。所謂“三分技術、七分管理、十二分數(shù)據(jù)”，充分說明了數(shù)據(jù)在信息化系統(tǒng)中的核心地位和作用。然而，肆意的勒索病毒成為企業(yè)數(shù)據(jù)安全的噩夢。

2017年，美國醫(yī)藥巨頭默克集團(Merck)遭受嚴重的勒索病毒攻擊，在銷售方面造成的損失超過1.35億美元，而其他損失超過1.75億美元，總計直接損失3.1億美元。全球最大的船運公司馬士基集團(Maersk)遭受NonPetya勒索病毒攻擊，造成超過4000臺業(yè)務服務器、45000臺業(yè)務終端被惡意加密勒索，迫使業(yè)務一度暫停，造成超過3億美元直接損失。與此同時，全球最大的快遞運輸公司聯(lián)邦快遞(Fedex)也遭受同類勒索病毒攻擊，造成累計3億美元的直接損失。除此之外，烏克蘭航空、利潔時集團、美國印第安納州州立醫(yī)院等大量企業(yè)均遭受勒索病毒侵害，造成不同程度經濟、業(yè)務損失。

放眼國內，隨著去年WannaCry病毒爆發(fā)，勒索病毒逐步開始被人們所熟知，但是在面臨嚴重的企業(yè)數(shù)據(jù)安全挑戰(zhàn)的時候大家仍然無動于衷，導致遭受攻擊后追悔莫及。國內諸多企事業(yè)單位、上市公司、大中型民營企業(yè)均遭受嚴重的勒索病毒攻擊，且相應案例仍在持續(xù)上升，損失也越來越大。我們通過大量勒索病毒攻擊事件應急響應處置后，總結出如下幾點最容易感染勒索病毒的安全隱患：

• 業(yè)務便利，內部辦公系統(tǒng)安全措施不到位情況下直接對外開放;
• 運維方便，將內部系統(tǒng)的控制服務、數(shù)據(jù)庫管理端口對外開放;
• 操作系統(tǒng)管理、數(shù)據(jù)庫管理、應用服務、業(yè)務系統(tǒng)存在弱口令;
• 操作系統(tǒng)及應用長期不更新，不打補丁，不裝殺毒軟件;
• 辦公網(wǎng)絡與服務器處在同網(wǎng)段，無任何隔離措施;
• 敏感服務器無任何安全防護系統(tǒng);
• 無數(shù)據(jù)備份措施或同機備份;
• 服務器上U盤等介質亂插;
• 無專職網(wǎng)絡管理員。

勒索病毒趨勢

勒索病毒自最早在1989年發(fā)現(xiàn)的AIDS木馬病毒已經逐步演變成大量可自我復制、主動提權、內網(wǎng)傳播等高級功能的病毒，尤其2012年后，相應的變種數(shù)量逐年增加，逐步形成巨大黑色產業(yè)鏈。安恒信息研究院研究員通過大量統(tǒng)計分析發(fā)現(xiàn)，大量樣本均利用了較近爆發(fā)的Windows系統(tǒng)嚴重安全漏洞，能夠自動感染、傳播，對服務器、工作終端均有嚴重危害。

專業(yè)測評機構根據(jù)近幾年全球勒索病毒對企業(yè)數(shù)據(jù)影響造成的損失測算，2019年全球因勒索病毒損失將達到115億美元，這個數(shù)字相當于一個中等發(fā)達水平國家全年GDP，損失之大，碾壓其他計算機病毒。企業(yè)信息化作為企業(yè)可持續(xù)性發(fā)展的基本條件，其重要的涉及生產制造、研發(fā)創(chuàng)新、營銷市場、財務人力、采購審計等CRM、ERP、OA等辦公系統(tǒng)都將是眾矢之的，一旦感染，損失會非常慘重。

勒索病毒防范措施與應急處置

首先要做的是事前的防護和預警，在勒索病毒發(fā)作之時，一切為時已晚?？梢詮囊韵聨讉€方面進行勒索病毒安全防范：

1. 應用程序方面

進行數(shù)據(jù)備份時，至少應該做到異機備份，避免服務器在遭受攻擊后系統(tǒng)完全癱瘓無法恢復。最好能有多個備份，包括熱備注、災備等。

• 定期關注相關應用程序廠商的公告和漏洞提醒，在測試后及時更新，避免攻擊者通過Xday漏洞攻擊服務器。
• 定期對應用程序進行滲透測試等，確保應用程序的安全性。如果是第三方軟件，可以延長測試周期。
• 對應用程序內的口令進行管理，同時做好應用程序審計信息的保存。

2. 操作系統(tǒng)方面

• 對操作系統(tǒng)進行加固檢查。
• 及時更新關鍵操作系統(tǒng)補丁。
• 定期使用漏洞掃描工具對操作系統(tǒng)進行檢測，發(fā)現(xiàn)潛在的已知或未知漏洞
• 保存相關審計數(shù)據(jù)
• 安裝終端防護軟件
• 網(wǎng)絡安全解決方案
• 部署防火墻、應用防火墻、入侵防護系統(tǒng)(IPS)等專用的安全設備，如果有條件可以追加部署其他安全設備和審計設備，例如數(shù)據(jù)庫審計設備、日志審計設備等。

3. 管理的角度

組織安全意識和應急響應的相關培訓，提高個人安全意識。有條件的話，對內部操作進行記錄以方便審計。

安全不是絕對的，百密總有一疏。如果真的被勒索病毒綁架，我們就需要盡可能地減少損失。

首先是將受影響的服務器從網(wǎng)絡上下線，避免病毒進一步擴散，控制影響范圍和損失。立即聯(lián)系安全廠商和專業(yè)人員進行處理。

如果是處于勒索病毒發(fā)作的初期(未能加密完系統(tǒng)所有的數(shù)據(jù))，可以通過中斷勒索病毒程序來減少損失，比較直接簡單的方式是斷電。盡管這不可避免會產生一些額外的數(shù)據(jù)丟失風險(緩存、內存中的數(shù)據(jù))，但是基本上可以防止勒索病毒進一步加密系統(tǒng)文件，破壞整個系統(tǒng)。之后使用PE工具讀取磁盤、備份所有數(shù)據(jù)并嘗試恢復。另一種方式是利用一些安全工具臨時刪除運行中勒索病毒，對數(shù)據(jù)進行緊急備份，后期可以分析提取出其中有價值的數(shù)據(jù)，但是有可能會造成操作系統(tǒng)死機等其他情況。

如果勒索病毒已經運行了一段時間，完成了加密加鎖，這種情況下需要保存?zhèn)浞葸M一步分析確認病毒的加密方式、是否存在未被加密的有效數(shù)據(jù)、是否能夠恢復等。

在嘗試還原被勒索病毒綁架的數(shù)據(jù)之前，還需要盡可能的確認攻擊者的攻擊路徑，避免上線的熱備份服務器在短時間再次遭受攻擊。