浅谈勒索病毒防护

在正式的聊这个之前，为了尽量缩短篇幅，我会先贴一下引用的地址：

解密工具汇总：https://blog.csdn.net/Richard_qi/article/details/115611034?spm=1001.2101.3001.6650.1&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.pc_relevant_default&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.pc_relevant_default&utm_relevant_index=2

工具2：https://blog.csdn.net/a592277860/article/details/105804184/?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_title~default-0.pc_relevant_default&spm=1001.2101.3001.4242.1&utm_relevant_index=3

防御实用手册：https://edr.sangfor.com.cn/#/information/ransom_search

beijingcry：https://lesuo.venuseye.com.cn/report?id=61690be17515fb00076e49fc

beijingcry：https://bbs.360.cn/thread-15895432-1-1.html

勒索病毒的发展史及解密办法 https://zhuanlan.zhihu.com/p/484378520

云+前辈笔记：https://cloud.tencent.com/developer/article/1965058

==========================================================

简单的几个问答：

问：是不是只有腾讯云才会中勒索病毒

答：不是，只要是裸露在公网的机器，都存在该风险

问：挖矿和勒索病毒是不是针对腾讯云，为什么我们其他平台的机器没事

答：木马扫描时，往往通过相连的范围网段进行扫描传播，不单单是针对某个平台，应主动做好防护

问：为什么腾讯云的故障频率相对较高

答：可能与用户群体及使用习惯有关，（如默认安全组设置为all 端口允许）

问：是不是用linux系统就安全了

答：并非如此，只是相对windows的安全漏洞更多。

问：有什么有效的防护手段

答：通过一些对机器的安全策略限制或购买安全产品来实现。

问：中勒索病毒了怎么办？

答：先到上面的帖子找到引擎或工具，查询信息后获取专杀或重装系统用备份恢复。

问：中勒索病毒，是否给赎金就可以了

答：仍然有被对方忽悠的可能性，可以委托专业安全机构操作代付或修复事宜

问：购买主机安全收费版本是否可以防护勒索病毒

答：目前没有证据可以表明收费版本具备100%的防护能力，但它可以解决一些木马文件，

漏洞补丁，弱密码等问题

============================================================================

先说一下简单的总结：

事前防御 ： 写好策略，合适的话，通过vnc操作机器，如果不方便的话，

可以平时关闭安全组的端口，需要时，临时开启使用，设置复杂密码，关闭文件共享。

windows禁用GUEST来宾用户。尽量不要使用局域网共享，或把共享磁盘设置为只读属性，

不允许局域网用户改写文件。尽量关闭不必要的端口，如： 445、135、139、 3389、5900

发现问题后及时断开网络   在云上可以关闭云主机，马上到主机安全那检查（如果是通过密码等方式，一般主机安全都有记录）

事后恢复和防止短期再发生 一般如果既没有专杀，又没有备份，就只能给赎金，或者是不要数据选择直接重

装系统来覆盖，如果有备份的话，不妨先仔细的分析下来源，看看是怎么感染的，再去做恢复，之后打上补丁

做好防护，再恢复业务。

一定要备份，一定要备份，一定要备份

云上备份的方式针对系统盘符可以做镜像，针对数据盘可以做快照。

下面是最新的一类病毒的传播方式说明：

beijingcry ：SQL爆破、powershell无文件攻击