警惕勒索病毒 做好应急响应

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

目前，很多大学的官方微博、微信已发出了预警信息，说这段时间国内很多大学的校园网和同学的电脑都中病毒了。不少同学的毕业论文、毕业设计等重要资料已经宣告“沦陷”。部分高校已发布预警信息，提醒大家不要点开来路不明的链接，装上杀毒软件。

据悉，病毒是全国性的，疑似通过校园网传播，十分迅速。目前贺州学院、桂林电子科技大学、桂林航天工业学院、宁波大学，浙江中医药大学、浙江工商大学、浙江理工大学、大连海事大学、山东大学等众多高校都受到了病毒攻击。

一、勒索病毒爆发原因

1、加密手段复杂，解密成本高

勒索软件都采用成熟的密码学算法，使用高强度的对称和非对称加密算法对文件进行加密。除非在实现上有漏洞或密钥泄密，不然在没有私钥的情况下几乎没有可能解密。当受害者数据非常重要又没有备份的情况下，除了支付赎金没有什么别的方法去恢复数据，正是因为这点勒索者能源源不断的获取高额收益，推动了勒索软件的爆发增长。

互联网上也流传有一些被勒索软件加密后的修复软件，但这些都是利用了勒索软件实现上的漏洞或私钥泄露才能够完成的。如Petya和Cryptxxx家族恢复工具利用了开发者软件实现上的漏洞，TeslaCrypt和CoinVault家族数据恢复工具是利用了key的泄露来实现的。

2、使用电子货币支付赎金，变现快追踪难

几乎所有勒索软件支付赎金的手段都是采用比特币来进行的。比特币因为他的一些特点:匿名、变现快、追踪困难，再加上比特币名气大，大众比较熟知，支付起来困难不是很大而被攻击者大量使用。可以说比特币很好的帮助了勒索软件解决赎金的问题，进一步推动了勒索软件的繁荣发展。

3、Ransomware-as-a-server（勒索服务化）的出现

勒索软件服务化，开发者提供整套勒索软件解决方案，从勒索软件的开发、传播到赎金收取都提供完整的服务。攻击者不需要任何知识，只要支付少量的租金就可以开展勒索软件的非法勾当，这大大降低了勒索软件的门槛，推动了勒索软件大规模爆发。

二、勒索病毒传播方式

1、针对个人用户常见的攻击方式

通过用户浏览网页下载勒索病毒，攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等，诱导受害者下载运行病毒，运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。

2、针对企业用户常见的攻击方式

勒苏病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中，钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。

三、勒索病毒防御措施

（一）个人用户的防御措施

1、浏览网页时提高警惕，不下载可疑文件，警惕伪装为浏览器更新或者flash更新的病毒。

2、安装杀毒软件，保持监控开启，及时升级病毒库。

3、安装防勒索软件，防御未知勒索病毒。

4、不打开可疑邮件附件，不点击可疑邮件中的链接。

5、及时更新系统补丁，防止受到漏洞攻击。

6、备份重要文件，建议采用本地备份+脱机隔离备份+云端备份。

（二）企业用户的防御措施

1、系统漏洞攻击

防御措施：

（1）及时更新系统补丁，防止攻击者通过漏洞入侵系统。

（2）安装补丁不方便的企业，可安装网络版安全软件，对局域网中的机器统一打补丁。

（3）在不影响业务的前提下，将危险性较高的，容易被漏洞利用的端口修改为其它端口号。如139、445端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

2、远程访问弱口令攻击

防御措施：

（1）使用复杂密码

（2）更改远程访问的默认端口号，改为其它端口号

（3）禁用系统默认远程访问，使用其它远程管理软件

3、钓鱼邮件攻击

防御措施：

（1）安装杀毒软件，保持监控开启，及时更新病毒库

（2）如果业务不需要，建议关闭office宏，powershell脚本等

（3）开启显示文件扩展名

（4）不打开可疑的邮件附件

（5）不点击邮件中的可疑链接

4、web服务漏洞和弱口令攻击

防御措施：

（1）及时更新web服务器组件，及时安装软件补丁

（2）web服务不要使用弱口令和默认密码

5、数据库漏洞和弱口令攻击

防御措施：

（1）更改数据库软件默认端口

（2）限制远程访问数据库

（3）数据库管理密码不要使用弱口令

（4）及时更新数据库管理软件补丁

（5）及时备份数据库

腾讯公司安全部门制作了《勒索病毒应急响应指导手册》，学校师生可点击下载。