這幾天，好幾個客戶反映不幸中招勒索病毒，急尋藍隊云技術支援。經過情況初步了解，這幾家公司都有一些共同原因。比如公司內部安全意識極差，幾乎處于“裸奔”狀態；基本上都是物理服務器中招；基本上自己難以判斷中了勒索病毒。剛好，今天就分享下勒索病毒和一些防范手段、處置辦法。

勒索病毒十分危險，它能通過多種方式發起攻擊，像利用漏洞、電子郵件、程序木馬、網絡下載等進行傳播。這病毒性質惡劣，危害極大，一旦感染，會給用戶帶來難以估量的損失。它會用各種加密算法把文件加密，然后勒索高額贖金。被感染的人一般解不了密，只有拿到解密的私鑰才有可能破解。所以，防范勒索病毒至關重要。黑客植入病毒完成加密后，會提示受害者文件被加密打不開了，得支付贖金才能恢復文件。

如果你的計算機出現下面這些特征，那就可能中了勒索病毒。

一、電腦桌面被篡改

服務器被勒索病毒感染后，最明顯的就是電腦桌面會有很大變化。通常桌面會出現新的文本或網頁文件，上面有說明如何解密的信息，同時還會有勒索提示和解密聯系方式。下面給大家看看電腦感染勒索病毒后，桌面發生變化的典型示意圖。

二、文件后綴被篡改

服務器感染勒索病毒后，另一個典型特征是文件后綴被改了。現在勒索病毒主要有文件加密類、數據竊取類、系統加密類、屏幕鎖定類等。這些勒索病毒一般通過下面幾種方式傳播：

①利用安全漏洞傳播：攻擊者會利用弱口令、遠程代碼執行等網絡產品安全漏洞（很多是已公開且有補丁，但沒及時修復的漏洞），入侵用戶內部網絡，拿到管理員權限，然后傳播勒索病毒。

②利用釣魚郵件傳播：攻擊者把勒索病毒藏在釣魚郵件的文檔、圖片附件里，或者把惡意鏈接寫在郵件正文里。一旦用戶打開或點擊，病毒就會自動加載、安裝，威脅整個網絡安全。

③利用網站掛馬傳播：攻擊者攻擊網站，在網站上植入惡意代碼，或者自己搭建有惡意代碼的網站，誘導用戶訪問，觸發惡意代碼，劫持用戶頁面到勒索病毒下載鏈接并執行，把病毒植入用戶設備。

④利用移動介質傳播：攻擊者隱藏 U 盤、移動硬盤等移動存儲介質的原有文件，創建和介質盤符、圖標一樣的快捷方式。用戶一點擊，就會自動運行勒索病毒，或者運行收集設備信息的木馬程序，方便以后勒索。

⑤利用軟件供應鏈傳播：攻擊者利用軟件供應商和用戶之間的信任關系，攻擊軟件供應商的服務器，在合法軟件傳播、升級過程中劫持或篡改軟件，規避用戶網絡安全防護機制，傳播勒索病毒。

⑥利用遠程桌面入侵傳播：攻擊者通常用弱口令、暴力破解等方式拿到攻擊目標服務器的遠程登錄用戶名和密碼，然后通過遠程桌面協議登錄服務器，植入勒索病毒。而且一旦成功登錄，獲得服務器控制權限，就可以以服務器為跳板，在用戶內部網絡進一步傳播勒索病毒。

那我們該怎么防范勒索病毒呢？下面是一些方法和步驟。

一、更換弱口令

弱口令是勒索病毒攻擊的主要途徑之一。如果你的電腦、服務器、數據庫密碼比較簡單，那就趕緊換個復雜點的密碼。

方法一：盡量用“字母+數字+特殊符號”的形式，密碼長度可以設置為 8 位或更多，把字母、數字和符號混在一起。方法二：用幾個詞組成非固定短語做密碼，詞與詞之間用下劃線等符號分隔。比如“%you_i_think%”就比“imissyou”更安全。方法三：實在記不住復雜密碼，非得用名字、紀念日或電話號碼設置密碼的，就用某種方法變換一下。比如可以敲擊鍵盤的左上一個鍵來改換拼音字母，這樣被猜到或破解的可能性就會大大降低。

二、安裝安全防護軟件

推薦大家下載使用火絨或者 360 殺毒，總比“裸奔”強多了。安裝安全防護軟件能有效防止勒索病毒攻擊。我們要打開安全軟件的防護功能，保持開啟狀態，還要讓病毒庫保持更新。同時，定期進行安全掃描和漏洞掃描，及時發現和修復安全問題。還要定期進行全盤掃描和實時監控，及時發現和清除病毒。

三、加強安全意識

大家一定要了解勒索病毒的危害和傳播途徑，這里有幾點建議：

l別輕易下載或點擊不明來源的文件，也別打開可疑的網站鏈接。

l別打開陌生郵件地址發的郵件、郵件鏈接及其附件。

l定期關電腦，防止病毒不斷攻擊。

l給計算機系統設個強密碼，定期更換，別讓攻擊者輕易破解。

l在家辦公連接公司網時，要用 VPN 連接內部網絡。像向日葵、todesk 等其他遠程連接方式感染病毒的風險比較大，不用的時候別打開。

l服務器或計算機閑置時，別開放不必要的數據庫端口、局域網共享端口和遠程訪問、登錄、連接相關的接口和服務。需要遠程連接的時候再打開，用完立刻關閉遠程訪問功能。

l盡量用正版軟件，別用破解軟件和激活工具，很多破解軟件都可能帶木馬。網絡與信息中心官網有很多正版軟件可以用。

l在 PC 端的設置 - 網絡與 Internet - WLAN - IP 分配中，改成自動 DHCP 分配。

l別連接未經授權的 USB、SD 卡或其他外部存儲介質，包括個人使用的也不行。

lU 盤等外部存儲介質連接計算機設備和 PC 時，要先殺毒（火絨、360 等安全軟件一般會自動掃描）。

四、備份重要數據

定期備份重要數據，能有效避免勒索病毒攻擊造成的數據損失和泄露。把數據存到安全的地方，比如云端或外部存儲設備。

五、加強漏洞修復

①別再用 Windows XP、Windows 2003、Windows Vista 等微軟不再提供安全更新的操作系統了，可以去東南大學網絡與信息中心下載正版 win10 系統。及時修復計算機系統和應用軟件的漏洞，安裝 Windows 漏洞補丁和升級程序。

②確保常用軟件是最新版本，定期更新電腦里的軟件，避免舊版本存在安全漏洞。

六、使用安全的網絡環境和網絡設備

選擇可靠的網絡安全產品和網絡設備，別用不可信的 Wi-Fi，這樣能有效避免勒索病毒攻擊。

七、已受到勒索病毒攻擊怎么辦

如果已經中了勒索病毒，千萬別輕易支付贖金。因為贖金大多是比特幣等加密貨幣，一旦支付就基本追不回來了。支付贖金只會讓攻擊者更囂張，繼續攻擊勒索，而且也不能保證數據能被解密。也先別查殺病毒，有些勒索病毒把用戶文件加密后還植入了病毒，要是查殺病毒，可能會把被加密的文件也刪掉。這時候應該第一時間聯系網絡與信息中心，尋找更有效的解決辦法。

藍隊云作為扎根云南本土的云計算及網絡安全服務商，擁有一支專業的安全團隊，能夠為政企單位提供完善的安全服務。企業中了勒索病毒，藍隊云將依據完善的服務流程，開啟應急處理。此外，藍隊云還提供風險評估、滲透測試、攻防演練、等保合規、密評改造等各類安全服務。