隨著“五一”假期的到來(lái)，多數(shù)企業(yè)即將迎來(lái)一個(gè)短暫的運(yùn)營(yíng)休整期，同時(shí)企業(yè)員工包括IT人員也將有機(jī)會(huì)暫時(shí)遠(yuǎn)離工作，享受一個(gè)放松的假期。

然而，這一期間也往往成為網(wǎng)絡(luò)攻擊者尋求的“機(jī)會(huì)窗口”。在員工放假、IT支持相對(duì)薄弱的背景下，同樣為網(wǎng)絡(luò)威脅如勒索病毒攻擊等提供了可乘之機(jī)。一些不法分子或?qū)I(yè)黑客可能會(huì)針對(duì)企業(yè)使用的邊界網(wǎng)絡(luò)設(shè)備（如飛塔Fortinet防火墻認(rèn)證繞過(guò)漏洞CVE-2022-40684，Cisco ASA認(rèn)證漏洞CVE-2023-20269等），企業(yè)管理軟件（如金蝶云星空ERP反序列化漏洞CNVD-2024-13011，用友NC命令執(zhí)行漏洞CNVD-2024-18070，泛微e-cologySQL注入漏洞CNVD-2023-65262等）出現(xiàn)的最新安全漏洞或歷史安全漏洞進(jìn)行攻擊，從而通過(guò)對(duì)企業(yè)重要服務(wù)器和數(shù)據(jù)庫(kù)文件執(zhí)行加密，以此來(lái)實(shí)施勒索訴求。

基于近幾年多次處置勒索病毒事件的基礎(chǔ)上，我們總結(jié)出了一些勒索病毒的典型特征與預(yù)防策略，這些對(duì)勒索病毒的認(rèn)知經(jīng)驗(yàn)和預(yù)防策略可以幫助企業(yè)在節(jié)假日期間提升網(wǎng)絡(luò)安全防護(hù)，維護(hù)業(yè)務(wù)穩(wěn)定運(yùn)行和數(shù)據(jù)安全，真正做到信息安全防患于未然。

一、勒索病毒典型特征

周末和節(jié)假日期間，更容易感染勒索病毒

勒索病毒多數(shù)選擇在周末和節(jié)假日期間實(shí)施攻擊，這主要是因?yàn)樵谶@些時(shí)間點(diǎn)，企業(yè)的安全監(jiān)控可能相對(duì)松懈，IT支持人員可能不在崗，從而減少了入侵行為被及時(shí)發(fā)現(xiàn)的風(fēng)險(xiǎn)。此外，節(jié)假日期間員工通常更放松，更容易受到釣魚(yú)郵件等社會(huì)工程攻擊的欺騙，增加了勒索病毒攻擊的成功機(jī)率。

外網(wǎng)設(shè)備或應(yīng)用存在的已知漏洞，經(jīng)常被勒索病毒用于攻擊

勒索病毒通常利用邊界網(wǎng)絡(luò)設(shè)備的自身漏洞、商業(yè)或開(kāi)源應(yīng)用軟件漏洞、操作系統(tǒng)漏洞、存在弱口令的遠(yuǎn)程訪問(wèn)服務(wù)等多種方式，對(duì)目標(biāo)系統(tǒng)發(fā)動(dòng)攻擊。常見(jiàn)的攻擊手段包括：

• 利用防火墻、VPN等網(wǎng)絡(luò)邊界漏洞
• 利用Windows、Linux等操作系統(tǒng)漏洞
• 利用OA、財(cái)務(wù)、CMS等應(yīng)用系統(tǒng)漏洞
• 利用操作系統(tǒng)、應(yīng)用、管理后臺(tái)等弱密碼漏洞
• 利用釣魚(yú)郵件攻擊
• 水坑攻擊等

節(jié)假日期間感染勒索病毒的企業(yè)信息安全共性

我們處理過(guò)多起在節(jié)假日上班后才上報(bào)的勒索病毒事件，這類企業(yè)一般都是：

• 傳統(tǒng)行業(yè)占比較多，比如制造業(yè)、房地產(chǎn)、零售、餐飲行業(yè)等;
• 網(wǎng)絡(luò)架構(gòu)不合理：辦公應(yīng)用系統(tǒng)、遠(yuǎn)程管理端口等對(duì)外網(wǎng)開(kāi)放，增加了不必要的外部攻擊面；辦公網(wǎng)的訪客網(wǎng)段、關(guān)鍵服務(wù)器網(wǎng)段沒(méi)有隔離等；
• 基礎(chǔ)安全不到位：只有甚至沒(méi)有邊界防火墻，缺少基本的主機(jī)安全類、流量檢測(cè)類、商業(yè)性防病毒產(chǎn)品等，從而因?yàn)榘踩a(chǎn)品缺失或安全功能過(guò)期，無(wú)法及時(shí)有效地阻止、檢測(cè)和中斷勒索病毒攻擊；
• 安全檢查未落實(shí)：比如服務(wù)器、VPN設(shè)備存在弱口令賬號(hào)，財(cái)務(wù)系統(tǒng)、OA應(yīng)用、防火墻、VPN等軟硬件產(chǎn)品存在已知的嚴(yán)重安全漏洞未及時(shí)更新，缺乏安全意識(shí)點(diǎn)擊釣魚(yú)郵件感染等；
• 專業(yè)安全人員缺口：沒(méi)有專職安全人員或第三方安全服務(wù)團(tuán)隊(duì)，不能預(yù)防、檢測(cè)和及時(shí)阻斷勒索病毒攻擊；

感染勒索病毒給企業(yè)造成的損失和后果

感染勒索病毒的企業(yè)通常會(huì)面臨業(yè)務(wù)中斷，可能持續(xù)數(shù)天甚至長(zhǎng)達(dá)數(shù)周。盡管大多數(shù)企業(yè)可以通過(guò)備份數(shù)據(jù)恢復(fù)，但依然會(huì)造成一定程度的損失，包括但不限于：

• 財(cái)務(wù)數(shù)據(jù)不能訪問(wèn)：工資發(fā)放、賬單處理、稅務(wù)報(bào)告等業(yè)務(wù)流程中斷；
• ERP數(shù)據(jù)不能訪問(wèn)：供應(yīng)鏈中斷、生產(chǎn)計(jì)劃受阻、合同和協(xié)議執(zhí)行困難；
• CRM數(shù)據(jù)不能訪問(wèn)：客戶服務(wù)響應(yīng)中斷、銷售線索丟失、市場(chǎng)活動(dòng)受阻；
• HR數(shù)據(jù)不能訪問(wèn)：招聘流程延遲、員工個(gè)人隱私數(shù)據(jù)泄露；
• 研發(fā)（R&D）數(shù)據(jù)不能訪問(wèn)：項(xiàng)目中斷、知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)；
• 其它影響：客戶信任下降，法律合規(guī)風(fēng)險(xiǎn)，品牌聲譽(yù)損害等；

感染勒索病毒后的處理流程

勒索病毒通常使用對(duì)稱加密算法來(lái)對(duì)服務(wù)器上的大量文件實(shí)現(xiàn)快速加密，同時(shí)使用非對(duì)稱加密算法來(lái)加密對(duì)稱密鑰，從而確保只有攻擊者自身?yè)碛形募饷苊荑€。因此正常情況下，被加密的文件均無(wú)法恢復(fù)正常，只能通過(guò)備份文件進(jìn)行恢復(fù)。

同時(shí)我們也建議不與勒索攻擊者溝通及支付贖金，這是因?yàn)橹Ц囤H金并不能保證數(shù)據(jù)會(huì)被解密，而且還會(huì)鼓勵(lì)更多的勒索軟件攻擊。此外，根據(jù)美國(guó)等國(guó)家的現(xiàn)行法律，支付贖金是被明確禁止的，企業(yè)和個(gè)人需遵守相關(guān)法律法規(guī)，以免觸犯法律。

一旦感染勒索病毒后，應(yīng)盡快參照如下流程，尋求專業(yè)安全人員進(jìn)行處置。具體可參考我們之前發(fā)布的勒索病毒處理經(jīng)驗(yàn)分享文檔。

二、勒索病毒防護(hù)主要策略

數(shù)據(jù)備份安全

檢查并驗(yàn)證重要數(shù)據(jù)的備份機(jī)制是否正常，確保備份數(shù)據(jù)完整可用。同時(shí)確認(rèn)備份數(shù)據(jù)的存儲(chǔ)位置與主數(shù)據(jù)隔離，避免被勒索病毒一并加密。

邊界設(shè)備安全

確認(rèn)邊界防火墻、VPN等設(shè)備已升級(jí)到安全版本，避免存在弱口令等安全隱患。定期更換密碼，并采用多因素認(rèn)證提高安全性。

外網(wǎng)攻擊面資產(chǎn)防護(hù)

對(duì)外網(wǎng)網(wǎng)站進(jìn)行漏洞掃描和滲透測(cè)試，并通過(guò)WAF等安全設(shè)備對(duì)網(wǎng)站進(jìn)行防護(hù)。確保所有Web應(yīng)用都及時(shí)打上安全補(bǔ)丁。

安全檢測(cè)和監(jiān)控告警

檢查主機(jī)安全、流量監(jiān)控產(chǎn)品的策略配置是否完備，確保能夠及時(shí)發(fā)現(xiàn)異常行為。同時(shí)，考慮使用行為分析工具來(lái)識(shí)別潛在的內(nèi)部威脅。

值班和應(yīng)急預(yù)案機(jī)制

確保組織有完善的值班和應(yīng)急預(yù)案機(jī)制，可以及時(shí)響應(yīng)和處置勒索病毒等突發(fā)安全事件。這包括建立跨部門的應(yīng)急響應(yīng)團(tuán)隊(duì)，以及定期進(jìn)行應(yīng)急演練。