近期火絨工程師發現受到勒索攻擊的用戶數量顯著上升，勒索攻擊一般指黑客通過運行勒索病毒加密受害者的文件，要求后者支付贖金來恢復文件訪問權，此類攻擊會對用戶的財務和運營造成重大的影響。

經過觀察，活躍的勒索家族包括Makop、Mallox、Phobos、TellYouThePass等。勒索攻擊多發生在凌晨時段，且首次入侵機器多為服務器。為避免勒索病毒影響您的設備及業務，火絨工程師提醒您及時安裝火絨安全終端并參考本文的勒索防護建議做好防范措施。

勒索病毒主要入侵方式

1. RDP遠程桌面暴破獲取賬戶密碼；

2. 對暴露于網絡上的數據庫進行暴破；

3. 對業務系統存在的高危漏洞進行利用。

風險簡述

1. 數據不可用：重要文件被加密，無法訪問可能導致關鍵業務運作中斷；

2. 財務損失：支付贖金給攻擊者可能導致直接的財務損失；

3. 信譽傷害：數據泄露和業務中斷可能損害公司的聲譽；

4. 合規性風險：可能違反數據保護法規，導致法律后果和罰款。

勒索防護建議

策略加固

1. 業務或系統登錄使用強密碼，確保密碼符合長度、多樣性、隨機性 ；

2. 避免密碼復用，系統賬戶，業務數據庫等賬戶使用的密碼不一致；

3. 定期更換密碼，建議三個月至少更換一次；

4. 禁用不必要的端口，例如：3389，445，3306，1433等。

容災方案

1. 定期進行重要數據的備份；

2. 備份保存在非本地。

火絨安全軟件策略

結合客戶溯源環境，建議在官網的加固建議基礎上，進行以下加固：

1. 開啟勒索誘捕 ；

2. 勾選禁止終端操作信任區 ；

3. 開啟遠程登錄防護 ；

4. 開啟終端動態認證 ；

5. 開啟程序執行控制--遠程控制工具、風險工具項；

6. 設置定時查殺計劃任務，并關注查殺結果，建議一周至少執行一次；

7. 設置密碼保護，防止終端被惡意退出、卸載 。

更新策略

1. 業務系統定期確認是否存在漏洞，及時更新到最新版本；

2. 定期執行漏洞修復功能，修復系統高危漏洞；

3. 及時升級安全軟件病毒庫。

管理員巡檢

1. 定期查看系統和業務日志；

2. 定期查看系統環境是否有新增可疑賬戶；

3. 定期查看火絨日志，如有異常可及時聯系火絨客服反饋。

注：建議在一周到三個月內至少執行一次。

規范遠程

1. 若非必要建議關閉系統的遠程桌面功能；

2. 如需使用遠程桌面可根據需求，在系統防火墻或火絨策略中設置白名單。

提高員工安全意識

1. 不從非官網下載軟件；

2. 收到的文件先進行查殺再打開；

3. 移動設備使用時遵循先查殺再使用的原則；

4. 離開工位及時鎖屏。

應對措施

1. 立即隔離：如果發現勒索軟件，立即將受感染的系統從網絡中隔離；

2. 不要支付贖金：支付贖金可能會鼓勵攻擊者繼續此類攻擊，并且不保證數據恢復；

3. 報告事件：向內部安全團隊報告，并考慮報告給相應的執法部門；

4. 恢復備份：在徹底清理系統后，從備份中恢復數據。

附：常見勒索家族介紹

1.Makop勒索家族

該勒索家族目前觀察到的主要入侵手段為通過惡意電子郵件附件、下載到被感染的安裝程序或漏洞利用。

2.Mallox勒索家族

該勒索家族目前觀察到的主要入侵手段為利用易受攻擊和公開暴露的服務獲取權限，特別關注MSSQL數據庫，以及RDP暴破。

3.Phobos勒索家族

該勒索家族目前觀察到的主要入侵手段為RDP暴破。

4.TellYouThePass勒索家族

該勒索家族目前觀察到的入侵手段為多為對OA等業務系統高危漏洞的利用，常對暴露于網絡上，并存在有漏洞的機器發起攻擊。