勒索病毒在傳播和感染方面與一般的計算機病毒沒有任何區(qū)別，主要從以下幾個方向去感染目標(biāo)計算機系統(tǒng)。

勒索病毒(Ransomware)與其他病毒最大的不同在于感染手法及中毒的方式。

它利用計算機的一些功能給系統(tǒng)上了一把“鎖“，或者對磁盤上的文件進行加密，從而對信息的系統(tǒng)的可用性造成巨大影響。

然而，不同于其他的破壞性病毒，勒索病毒要求受害者繳納贖金來恢復(fù)系統(tǒng)。

勒索病毒在傳播和感染方面與一般的計算機病毒沒有任何區(qū)別，主要從以下幾個方向去感染目標(biāo)計算機系統(tǒng)。

勒索病毒感染目標(biāo)計算機系統(tǒng)的五個方向1. 系統(tǒng)漏洞與早期沖擊波病毒利用了Windows RPC/DCOM漏洞攻擊了世界范圍內(nèi)絕大多數(shù)的Windows系統(tǒng)類似，Wannacry勒索病毒利用了永恒之藍(MS17-010)在全球范圍內(nèi)迅速傳播。

2. 應(yīng)用漏洞病毒借用公開的利用程序?qū)Υ嬖诼┒吹膽?yīng)用系統(tǒng)攻擊，將自身的惡意代碼運行在操作系統(tǒng)，例如Weblogic反序列化漏洞、Struts2表達式注入漏洞。

另一類需要人工或者自動化的工具挖掘未公開的漏洞來攻擊應(yīng)用系統(tǒng)，運行病毒程序。

3. 口令、令牌管理不當(dāng)，應(yīng)用配置不當(dāng)?shù)壤?，如果系統(tǒng)管理員賬號的口令強度太弱，攻擊者就可以使用自動化工具暴力猜測密碼，進而通過開放的RDP服務(wù)(遠程桌面服務(wù))直接管理服務(wù)器，注入惡意程序。

4. 社會工程學(xué)利用人的弱點、習(xí)慣，結(jié)合各類工具漏洞、技術(shù)手段誘使受害者泄露某些機密或者運行某些惡意程序。

無論是基于“鎖”還是基于加密的勒索病毒，它所利用的技術(shù)和機制均是出于安全目的設(shè)計的，在不知曉密鑰/密碼信息的前提去破譯其中的內(nèi)容，均存在一定的技術(shù)和時間成本。

除非攻擊者愿意提供相應(yīng)的敏感信息，被勒索病毒所綁架的數(shù)據(jù)基本上無法進行恢復(fù)，從而造成嚴(yán)重的數(shù)據(jù)丟失。

在缺少備份文件的情況，它會導(dǎo)致整個系統(tǒng)完全癱瘓甚至報廢。

5. 勒索病毒對企業(yè)數(shù)據(jù)安全的沖擊隨著信息技術(shù)的進步，企業(yè)在運營過程中對ERP、CRM、OA等智能辦公系統(tǒng)的核心數(shù)據(jù)的依賴性越來越高。

所謂“三分技術(shù)、七分管理、十二分數(shù)據(jù)”，充分說明了數(shù)據(jù)在信息化系統(tǒng)中的核心地位和作用。

然而，肆意的勒索病毒成為企業(yè)數(shù)據(jù)安全的噩夢。

2017年，美國醫(yī)藥巨頭默克集團(Merck)遭受嚴(yán)重的勒索病毒攻擊，在銷售方面造成的損失超過1.35億美元，而其他損失超過1.75億美元，總計直接損失3.1億美元。

全球最大的船運公司馬士基集團(Maersk)遭受NonPetya勒索病毒攻擊，造成超過4000臺業(yè)務(wù)服務(wù)器、45000臺業(yè)務(wù)終端被惡意加密勒索，迫使業(yè)務(wù)一度暫停，造成超過3億美元直接損失。

與此同時，全球最大的快遞運輸公司聯(lián)邦快遞(Fedex)也遭受同類勒索病毒攻擊，造成累計3億美元的直接損失。

除此之外，烏克蘭航空、利潔時集團、美國印第安納州州立醫(yī)院等大量企業(yè)均遭受勒索病毒侵害，造成不同程度經(jīng)濟、業(yè)務(wù)損失。

放眼國內(nèi)，隨著去年WannaCry病毒爆發(fā)，勒索病毒逐步開始被人們所熟知，但是在面臨嚴(yán)重的企業(yè)數(shù)據(jù)安全挑戰(zhàn)的時候大家仍然無動于衷，導(dǎo)致遭受攻擊后追悔莫及。

國內(nèi)諸多企事業(yè)單位、上市公司、大中型民營企業(yè)均遭受嚴(yán)重的勒索病毒攻擊，且相應(yīng)案例仍在持續(xù)上升，損失也越來越大。

我們通過大量勒索病毒攻擊事件應(yīng)急響應(yīng)處置后，總結(jié)出如下幾點最容易感染勒索病毒的安全隱患：業(yè)務(wù)便利，內(nèi)部辦公系統(tǒng)安全措施不到位情況下直接對外開放;運維方便，將內(nèi)部系統(tǒng)的控制服務(wù)、數(shù)據(jù)庫管理端口對外開放;操作系統(tǒng)管理、數(shù)據(jù)庫管理、應(yīng)用服務(wù)、業(yè)務(wù)系統(tǒng)存在弱口令;操作系統(tǒng)及應(yīng)用長期不更新，不打補丁，不裝殺毒軟件;辦公網(wǎng)絡(luò)與服務(wù)器處在同網(wǎng)段，無任何隔離措施;敏感服務(wù)器無任何安全防護系統(tǒng);無數(shù)據(jù)備份措施或同機備份;服務(wù)器上U盤等介質(zhì)亂插;無專職網(wǎng)絡(luò)管理員。

勒索病毒趨勢勒索病毒自最早在1989年發(fā)現(xiàn)的AIDS木馬病毒已經(jīng)逐步演變成大量可自我復(fù)制、主動提權(quán)、內(nèi)網(wǎng)傳播等高級功能的病毒，尤其2012年后，相應(yīng)的變種數(shù)量逐年增加，逐步形成巨大黑色產(chǎn)業(yè)鏈。

安恒信息研究院研究員通過大量統(tǒng)計分析發(fā)現(xiàn)，大量樣本均利用了較近爆發(fā)的Windows系統(tǒng)嚴(yán)重安全漏洞，能夠自動感染、傳播，對服務(wù)器、工作終端均有嚴(yán)重危害。

專業(yè)測評機構(gòu)根據(jù)近幾年全球勒索病毒對企業(yè)數(shù)據(jù)影響造成的損失測算，2019年全球因勒索病毒損失將達到115億美元，這個數(shù)字相當(dāng)于一個中等發(fā)達水平國家全年GDP，損失之大，碾壓其他計算機病毒。

企業(yè)信息化作為企業(yè)可持續(xù)性發(fā)展的基本條件，其重要的涉及生產(chǎn)制造、研發(fā)創(chuàng)新、營銷市場、財務(wù)人力、采購審計等CRM、ERP、OA等辦公系統(tǒng)都將是眾矢之的，一旦感染，損失會非常慘重。

勒索病毒防范措施與應(yīng)急處置首先要做的是事前的防護和預(yù)警，在勒索病毒發(fā)作之時，一切為時已晚。

可以從以下幾個方面進行勒索病毒安全防范：1. 應(yīng)用程序方面進行數(shù)據(jù)備份時，至少應(yīng)該做到異機備份，避免服務(wù)器在遭受攻擊后系統(tǒng)完全癱瘓無法恢復(fù)。

最好能有多個備份，包括熱備注、災(zāi)備等。

定期關(guān)注相關(guān)應(yīng)用程序廠商的公告和漏洞提醒，在測試后及時更新，避免攻擊者通過Xday漏洞攻擊服務(wù)器。

定期對應(yīng)用程序進行滲透測試等，確保應(yīng)用程序的安全性。

如果是第三方軟件，可以延長測試周期。

對應(yīng)用程序內(nèi)的口令進行管理，同時做好應(yīng)用程序?qū)徲嬓畔⒌谋４妗?/p>

2. 操作系統(tǒng)方面對操作系統(tǒng)進行加固檢查。

及時更新關(guān)鍵操作系統(tǒng)補丁。

定期使用漏洞掃描工具對操作系統(tǒng)進行檢測，發(fā)現(xiàn)潛在的已知或未知漏洞保存相關(guān)審計數(shù)據(jù)安裝終端防護軟件網(wǎng)絡(luò)安全解決方案部署防火墻、應(yīng)用防火墻、入侵防護系統(tǒng)(IPS)等專用的安全設(shè)備，如果有條件可以追加部署其他安全設(shè)備和審計設(shè)備，例如數(shù)據(jù)庫審計設(shè)備、日志審計設(shè)備等。

3. 管理的角度組織安全意識和應(yīng)急響應(yīng)的相關(guān)培訓(xùn)，提高個人安全意識。

有條件的話，對內(nèi)部操作進行記錄以方便審計。

安全不是絕對的，百密總有一疏。

如果真的被勒索病毒綁架，我們就需要盡可能地減少損失。

首先是將受影響的服務(wù)器從網(wǎng)絡(luò)上下線，避免病毒進一步擴散，控制影響范圍和損失。

立即聯(lián)系安全廠商和專業(yè)人員進行處理。

如果是處于勒索病毒發(fā)作的初期(未能加密完系統(tǒng)所有的數(shù)據(jù))，可以通過中斷勒索病毒程序來減少損失，比較直接簡單的方式是斷電。

盡管這不可避免會產(chǎn)生一些額外的數(shù)據(jù)丟失風(fēng)險(緩存、內(nèi)存中的數(shù)據(jù))，但是基本上可以防止勒索病毒進一步加密系統(tǒng)文件，破壞整個系統(tǒng)。

之后使用PE工具讀取磁盤、備份所有數(shù)據(jù)并嘗試恢復(fù)。

另一種方式是利用一些安全工具臨時刪除運行中勒索病毒，對數(shù)據(jù)進行緊急備份，后期可以分析提取出其中有價值的數(shù)據(jù)，但是有可能會造成操作系統(tǒng)死機等其他情況。

如果勒索病毒已經(jīng)運行了一段時間，完成了加密加鎖，這種情況下需要保存?zhèn)浞葸M一步分析確認病毒的加密方式、是否存在未被加密的有效數(shù)據(jù)、是否能夠恢復(fù)等。

在嘗試還原被勒索病毒綁架的數(shù)據(jù)之前，還需要盡可能的確認攻擊者的攻擊路徑，避免上線的熱備份服務(wù)器在短時間再次遭受攻擊。