近期勒索病毒攻击频发，及时做好相应安全防护措施

2018年3月至今，360安服团队已经接到数十起被黑客组织有针对性地对承载核心业务系统的服务器进行勒索的应急响应事件，其目的是获得天价赎金。从安全统计数据看，此类攻击呈急剧上升趋势。为避免客户遭受勒索攻击，提前做好安全防护措施，360安全专家发布服务器勒索攻击防护建议。

2018年勒索软件攻击呈现三大新趋势

根据360安服团队现场处置的数据统计显示，今年勒索软件呈现以下三大明显特点：

1、攻击目标是经过精心选择的，一定是承载了核心业务系统，客户一旦中招必须缴纳赎金或者自行解密，否则业务瘫痪。企业、政府、医疗和教育机构最易被勒索软件攻击。

2018年3月至5月，企业、政府、医疗和教育机构成为最容易遭受勒索软件攻击的对象，其中以企业与政府最为突出。如图1所示：

图1 2018年3月-5月受勒索病毒攻击行业分布

2、Windows Server 2008/2008 R2服务器操作系统最易被勒索软件攻破。

从操作系统分布来看，在感染勒索软件的服务器中，Windows Server 2008与Windows Server 2008 R2是绝对的主力，已经超过半数。如图2所示：

图2 被感染服务器操作系统分布

3、弱口令、共享文件、漏洞是勒索软件最常用的攻击方式。

从攻击方式来看，弱口令、共享文件、漏洞成为勒索软件最常用的攻击手段。第一类攻击方式为弱口令。远程桌面服务被爆破，黑客远程登录用户计算机投毒的占比超过一半。尽管很多远程爆破并非短时间内完成，但用户在黑客攻击过程中很难察觉到异常，往往等到服务器被攻破并投毒，通过查看相关日志才能发现问题。

第二类攻击方式为共享文件夹被加密。这类情况一般是因为局域网中其他机器感染了勒索软件，该软件通过搜索并加密局域网中的共享文件夹，实现勒索目的，而共享文件的主机本身并未感染勒索软件。

此外，软件漏洞和系统漏洞也常被用来投放勒索软件。如图3所示：

图3 各类攻击方式占比

处置建议

1、应急处置（已经中招）

对于已被勒索病毒感染的用户，首要任务是避免勒索病毒在内网中进一步传播，主要采取以下措施：

1)隔离被感染区域与其他安全域的连接；

2)对被感染服务器区域的服务器进行漏洞排查；

3)增强业务系统主机的账号密码强度，防止密码爆破；

4)服务器数据进行横向移植，重新搭建全新平台。

2、预防方案

坚持以预防为主的防护方式，应对处置勒索病毒。从服务器、网络环境、应用系统等三个层面进行安全风险检查与加固。

1)服务器层面

避免弱口令，使用强口令，避免多系统使用同一口令；及时安装漏洞补丁；关闭Windows共享服务、远程桌面控制等不必要的服务；安装防病毒、终端安全管理软件，并及时更新将病毒库；360公司已经针对本次勒索病毒事件制定了专项检测工具。

2)网络环境层面

做好安全区域隔离工作，尤其针对重要业务系统及核心数据库，应该设置独立的安全区域；做好区域边界的安全防御，严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务。

3)应用系统层面

做好应用系统安全渗透测试与加固工作，保障应用系统自身安全可控，对业务系统及数据进行备份，并验证备份系统及备份数据的可用性，一旦主系统遭受攻击，保障备份业务系统可以立即启用；同时，做好主系统与备份系统的安全隔离工作，避免两系统同时被感染、被攻击。

建议广大用户定期开展安全检查与评估，及时发现安全薄弱环节，及时修补安全漏洞和完善安全管理机制，时刻保证系统具备较高的安全防护能力。（以上信息来源于公众号：360企业安全）

不得不等：近期不得不等了解到的一些用户应急响应支撑中，中勒索病毒及挖矿病毒的确实不在少数，另外还有部分用户遭受不明攻击，造成内网不断对外发包。最后查明下来不少就是因为弱口令及一些常见高危漏洞引起的。比如sturst2漏洞，很早就爆出了，可是还有用户没有去打补丁。你说这不被攻击，那真的是运气好。对于主机是Windows Server 2008与Windows Server 2008 R2的用户及时做好主机加固，关闭不必要的服务及端口，如远程桌面。另外就是数据备份一定要及时，万一中毒了，你还可以恢复，不至于束手无策。不然真的只能交赎金了，关键交完还不一定能给你恢复。

不得不等创建了一个“等级保护测评”知识星球，这是一个付费加入的知识分享群。建立这个星球的初衷：分享与整合各类资源，大家共同成长。

在星球可以得到什么？知识改变命运，思路决定出路。

所有加入等级保护测评星球的伙伴们，不得不等都会将你拉入“等级保护测评知识星球VIP群”，方便大家及时进行交流。

什么时候可以加入，当你认可知识是有价值的时候，当你觉得花198元来获取最新的网路安全信息是值得的时候，欢迎你来加入，否则不建议加入知识星球。