关于持续防范勒索病毒的安全处理措施

近期接各途径网络安全预警通报，勒索病毒的传播和攻击情况增多。鉴于勒索病毒对主机数据和业务运行的严重影响，请学校师生保持警惕，持续做好防范勒索病毒工作，对疑似勒索病毒感染情况第一时间爱排查和扫描，定期备份数据并离线保存，避免发生网络安全事件和个人数据损失。

以下结合国家互联网应急中心（CNCERT）发布《勒索软件防范指南》对勒索软件（病毒）的防范、疑似排查和应急处置做简单介绍，详情参见本站已发布勒索病毒防护相关内容。

勒索病毒给企业和个人带来的影响范围越来越广，危害性也越来越大。本文介绍了一些勒索病毒的防范和处理措施，希望能够帮助读者免受勒索病毒侵害。

一、如何判断病情

如何判断计算机是否中了勒索病毒呢？勒索病毒有区别于其他病毒的明显特征：加密受害者主机的文档和数据，然后对受害者实施勒索，从中非法谋取私利。勒索病毒的主要目的是为了勒索，黑客在植入病毒完成加密后，会提示受害者您的文件已经被加密了无法再打开，需要支付赎金才能恢复文件。如果计算机出现了以下特征，可表明已经中了勒索病毒。

1、电脑桌面被篡改

服务器被感染勒索病毒后，最明显的特征是电脑桌面发生明显变化，即：桌面通常会出现新的文本文件或网页文件，这些文件用来说明如何解密的信息，同时桌面上显示勒索提示信息及解密联系方式。

下面为电脑感染勒索病毒后，几种典型的桌面发生变化的示意图。

2、文件后缀被篡改

服务器感染勒索病毒后，另外一个典型特征是：办公文档、照片、视频等文件的图标变为不可打开形式，或者文件扩展名被篡改。一般来说，文件扩展名会被改成勒索病毒家族的名称或其家族代表标志，如：GlobeImposter家族的扩展名为dream、TRUE、CHAK等；Satan家族的扩展名有satan、sicck；Crysis家族的扩展名有ARROW、arena等。

二、勒索软件防范九要、四不要

防范勒索软件要做到以下“九要”

1、要做好资产梳理与分级分类管理。

2、要备份重要数据和系统。

3、要设置复杂密码并保密。

4、要定期安全风险评估。

5、要常杀毒、关端口。安装杀毒软件并定期更新病毒库，定期全盘杀毒；关闭不必要的服务和端口，包括不必要的远程访问服务（3389端口、22端口），以及不必要的135、139、445等局域网共享端口等。

6、要做好身份验证和权限管理。

7、要严格访问控制策略。

8、要提高人员安全意识。

9、要制定应急响应预案。

三、防范勒索软件要做到以下“四不要”

1、不要点击来源不明邮件。勒索软件攻击者常常利用受害者关注的热点问题发送钓鱼邮件，甚至还会利用攻陷的受害者单位组织或熟人邮箱发送钓鱼邮件，不要点击此类邮件正文中的链接或附件内容。如果收到了单位组织内或熟人的可疑邮件，可直接拨打电话向其核实。

2、不要打开来源不可靠网站。不浏览色情、赌博等不良信息网站，此类网站经常被勒索软件攻击者发起挂马、钓鱼等攻击。

3、不要安装来源不明软件。不要从不明网站下载安装软件，不要安装陌生人发送的软件，警惕勒索软件伪装为正常软件的更新升级。

4、不要插拔来历不明的存储介质。不要随意将来历不明的U盘、移动硬盘、闪存卡等移动存储设备插入机器。

四、勒索软件疑似排查

当接到机器疑似感染勒索软件通报后，不要惊慌，可立即开展以下排查和工作，使用主流防病毒软件和安全管理软件对机器全部硬盘进行扫描，排查和清理疑似病毒、木马问题，第一时间清理病毒和木马，升级主机操作系统补丁，降低勒索软件可能产生的危害。

1、确认机器备份数据。如机器有定期备份，切记在确认机器安全良好前不要连接存放备份数据的存储设备；如机器没有定期备份，建议先期对主机重要数据进行备份，并将备份离线（与机器断开）保存，避免扫描主机过程中可能出现的数据损害。

2、使用安全类软件排查。使用主流防病毒软件和安全管理软件（如360杀毒和360安全卫士、火绒安全软件等），对机器进行病毒扫描和木马查杀，第一时间清理病毒和木马，并升级主机操作系统补丁。如果主机存在明显运行异常而无法修复，可以慎重考虑重装操作系统和全盘查杀清理等方式降低安全隐患。

3、确认机器安全状况。经过排查未发现明显安全问题，可以参考勒索软件防范的“九要”和“四不要”做好日常防护；如机器勒索软件发作，需要参考勒索软件应急处置方法及时断网处置和恢复主机运行。

五、勒索软件应急处置方法

当机器感染勒索软件后，不要惊慌，可立即开展以下应急工作，降低勒索软件产生的危害。

1、正确处置方法

(一)隔离中招主机

处置方法

当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，隔离主要包括物理隔离和访问控制两种手段，物理隔离主要为断网或断电；访问控制主要是指对访问网络资源的权限进行严格的认证和控制。

1）物理隔离

物理隔离常用的操作方法是断网和关机。

断网主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关闭无线网络。

2）访问控制

访问控制常用的操作方法是加策略和修改登录密码。

加策略主要操作步骤为：在网络侧使用安全设备进行进一步隔离，如防火墙或终端安全监测系统；避免将远程桌面服务（RDP，默认端口为3389）暴露在公网上（如为了远程运维方便确有必要开启，则可通过VPN登录后才能访问），并关闭445、139、135等不必要的端口。

修改登录密码的主要操作为：立刻修改被感染服务器的登录密码；其次，修改同一局域网下的其他服务器密码；第三，修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码，一般要求：采用大小写字母、数字、特殊符号混合的组合结构，口令位数足够长（15位、两种组合以上）。

(二)排查业务系统

处置方法

在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。

(三)联系专业人员

在应急自救处置后，建议第一时间联系专业的技术人士或安全从业者，对事件的感染时间、传播方式，感染家族等问题进行排查。

六、如何恢复系统

1、历史备份还原

如果事前已经对文件进行了备份，那么我们可以直接从云盘、硬盘或其他灾备系统中，恢复被加密的文件。值得注意的是，在文件恢复之前，应确保系统中的病毒已被清除，已经对磁盘进行格式化或是重装系统，以免插上移动硬盘的瞬间，或是网盘下载文件到本地后，备份文件也被加密。

事先进行备份，既是最有效也是成本最低的恢复文件的方式。

2、解密工具恢复

绝大多数勒索病毒使用的加密算法都是国际公认的标准算法，这种加密方式的特点是，只要加密密钥足够长，普通电脑可能需要数十万年才能够破解，破解成本是极高的。通常情况，如果不支付赎金是无法解密恢复文件的。

但是，对于以下三种情况，可以通过各大安全厂商提供的解密工具恢复感染文件：

1）勒索病毒的设计编码存在漏洞或并未正确实现加密算法；

2）勒索病毒的制造者主动发布了密钥或主密钥；

3）执法机构查获带有密钥的服务器，并进行了分享。

通过查询可靠安全厂商的网站，可以了解哪些勒索病毒可以被解密，同时采取相应措施。

3、重装系统

当文件无法解密，也觉得被加密的文件价值不大时，也可以采用重装系统的方法，恢复系统。但是，重装系统意味着文件再也无法被恢复。另外，重装系统后需更新系统补丁，并安装杀毒软件和更新杀毒软件的病毒库到最新版本，而且对于服务器也需要进行针对性的防黑加固。

4、如何加强防护

虽说部分勒索病毒目前已有解密工具，但勒索病毒制作成本低、利润高，新型勒索病毒层出不穷，并不是所有的勒索病毒都能进行解密。因此，加强勒索病毒的防护比中了勒索病毒之后再进行补救要有效得多。

对于高校师生，加强防护主要有以下相应措施：

养成良好的安全习惯

1）电脑应当安装具有云防护和主动防御功能的安全软件，不随意退出安全软件或关闭防护功能，对安全软件提示的各类风险行为不要轻易放行。

2）使用安全软件的第三方打补丁功能对系统进行漏洞管理，第一时间给操作系统和常用软件打好补丁，定期更新病毒库，以免病毒利用漏洞自动入侵电脑。

3）电脑设置的口令要足够复杂，包括数字、大小写字母、符号且长度至少应该有8位，不使用弱口令，以防攻击者破解。

4）重要文档数据应经常做备份，一旦文件损坏或丢失，也可以及时找回。

减少危险的上网操作

5）不要浏览来路不明的不良信息网站，这些网站经常被用于发动挂马、钓鱼攻击。

6）不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序，对于陌生人发来的压缩文件包，更应提高警惕，先使用安全软件进行检查后再打开。

7）电脑连接移动存储设备，如U盘、移动硬盘等，应首先使用安全软件检测其安全性。

8）对于安全性不确定的文件，可以选择在安全软件的沙箱功能中打开运行，从而避免木马对实际系统的破坏。

5、专业恢复。请专业公司和人员进行数据和系统恢复工作。