怎么才能把勒索病毒攻擊帶來的影響降到最低？

勒索病毒

勒索病毒，是一種新型電腦病毒，主要以郵件、程序木馬、網(wǎng)頁掛馬的形式進(jìn)行傳播。該病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。

據(jù)“火絨威脅情報(bào)系統(tǒng)”監(jiān)測(cè)和評(píng)估，從2018年初到9月中旬，勒索病毒總計(jì)對(duì)超過200萬臺(tái)終端發(fā)起過攻擊，攻擊次數(shù)高達(dá)1700萬余次，且整體呈上升趨勢(shì)。2017年12月13日，“勒索病毒”入選國家語言資源監(jiān)測(cè)與研究中心發(fā)布的“2017年度中國媒體十大新詞語”。由于近年來數(shù)字加密幣的流行，勒索病毒感染正處于愈演愈烈的態(tài)勢(shì)。

中招后的應(yīng)對(duì)措施

當(dāng)我們已經(jīng)確認(rèn)感染勒索病毒后，應(yīng)當(dāng)及時(shí)采取必要的自救措施。之所以要進(jìn)行自救，主要是因?yàn)椋旱却龑I(yè)人員的救助往往需要一定的時(shí)間，采取必要的自救措施，可以減少等待過程中，損失的進(jìn)一步擴(kuò)大。例如：與被感染主機(jī)相連的其他服務(wù)器也存在漏洞或是有缺陷，將有可能也被感染。所以，采取自救措施的目的是為了及時(shí)止損，將損失降到最低。

正確處置方法

1、迅速隔離中招主機(jī)

當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，應(yīng)立即隔離被感染主機(jī)。

隔離的目的，一方面是為了防止感染主機(jī)自動(dòng)通過連接的網(wǎng)絡(luò)繼續(xù)感染其他服務(wù)器；另一方面是為了防止黑客通過感染主機(jī)繼續(xù)操控其他服務(wù)器。

有一類勒索病毒會(huì)通過系統(tǒng)漏洞或弱密碼向其他主機(jī)進(jìn)行傳播，如WannaCry勒索病毒，一旦有一臺(tái)主機(jī)感染，會(huì)迅速感染與其在同一網(wǎng)絡(luò)的其他電腦，且每臺(tái)電腦的感染時(shí)間約為1-2分鐘左右。所以，如果不及時(shí)進(jìn)行隔離，可能會(huì)導(dǎo)致整個(gè)局域網(wǎng)主機(jī)的癱瘓，造成無法估量的損失。

隔離主要包括物理隔離和訪問控制兩種手段。

①物理隔離

物理隔離常用的操作方法是斷網(wǎng)和關(guān)機(jī)。斷網(wǎng)主要操作步驟包括：拔掉網(wǎng)線、禁用網(wǎng)卡，如果是筆記本電腦還需關(guān)閉無線網(wǎng)絡(luò)。

②訪問控制

a.避免將遠(yuǎn)程桌面服務(wù)（RDP，默認(rèn)端口為3389）暴露在公網(wǎng)上，并關(guān)閉445、139、135等不必要的端口。

b.將服務(wù)器密碼修改為高強(qiáng)度的復(fù)雜密碼。

2、排查業(yè)務(wù)系統(tǒng)

在已經(jīng)隔離被感染主機(jī)后，應(yīng)對(duì)局域網(wǎng)內(nèi)的其他機(jī)器進(jìn)行排查，檢查核心業(yè)務(wù)系統(tǒng)是否受到影響，生產(chǎn)線是否受到影響，并檢查備份系統(tǒng)是否被加密等，以確定感染的范圍。

另外，備份系統(tǒng)如果是安全的，就可以避免支付贖金，順利的恢復(fù)文件。

所以，當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，并確認(rèn)已經(jīng)隔離被感染主機(jī)的情況下，應(yīng)立即對(duì)核心業(yè)務(wù)系統(tǒng)和備份系統(tǒng)進(jìn)行排查。