　　近日，多個(gè)芯片制造企業(yè)遭受到了罕見的病毒攻擊事件。而此次發(fā)起攻擊的正是臭名昭著的勒索病毒W(wǎng)annacry。

　　該病毒首次大規(guī)模爆發(fā)于2017年5月，至少150個(gè)國家、30萬名用戶中招，造成損失達(dá)80億美元，全球政府、教育、醫(yī)院、能源、通信、制造業(yè)等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)都遭到了空前巨大的損失。

　　據(jù)《2018年上半年中國網(wǎng)絡(luò)安全報(bào)告》顯示，國內(nèi)共有近500萬臺(tái)主機(jī)感染勒索病毒，勒索病毒已經(jīng)成為最大網(wǎng)絡(luò)安全威脅之一。

　　WannaCry勒索病毒，是怎么一回事呢？

　　下面就由云寶給大家科普一下

　　什么是勒索病毒

　　勒索病毒是通過網(wǎng)絡(luò)勒索金錢或虛擬貨幣的常用方法，它是一種新型電腦病毒，主要以程序木馬、網(wǎng)頁掛馬、郵件、文件共享等形式進(jìn)行傳播。勒索病毒利用各種加密算法加密目標(biāo)用戶的文件、應(yīng)用程序、數(shù)據(jù)庫信息和業(yè)務(wù)系統(tǒng)相關(guān)的重要信息，直到受害者支付贖金才能通過攻擊者提供的密匙恢復(fù)訪問。

　　勒索病毒主要入侵手段

　　2018年以來，華為云安全團(tuán)隊(duì)已收到和處理了數(shù)十起用戶核心業(yè)務(wù)服務(wù)器被黑客進(jìn)行勒索的安全事件。從發(fā)起攻擊的方式來看，賬戶暴力破擊攻擊、系統(tǒng)和軟件漏洞、Windows文件共享、WebShell是勒索軟件最常用的攻擊手段。

　　1、賬戶暴力破解攻擊，是指攻擊者通過系統(tǒng)地組合所有可能性（例如登錄時(shí)用到的賬戶名、密碼），嘗試所有的可能破解用戶的賬戶名、密碼等敏感信息的攻擊手段。攻擊者經(jīng)常使用自動(dòng)化腳本組合用戶的賬號(hào)和密碼。由于許多服務(wù)器使用弱密碼，極易被黑客暴力破解，所以暴力破解入侵服務(wù)器一直以來都是成功率較高、感染范圍較大的一種攻擊方式。

　　2、通過系統(tǒng)漏洞和軟件漏洞傳播擴(kuò)散已經(jīng)成為勒索軟件的第二大攻擊方式，去年震驚世界的WannaCry勒索病毒就是利用微軟的永恒之藍(lán)漏洞進(jìn)行傳播。WannaCry的本質(zhì)是一個(gè)蠕蟲病毒，該蠕蟲利用永恒之藍(lán)漏洞感染一臺(tái)主機(jī)后，會(huì)自動(dòng)啟動(dòng)漏洞利用模塊將所有本地子網(wǎng)內(nèi)的主機(jī)作為目標(biāo)，并且也將局域網(wǎng)外的隨機(jī)IP網(wǎng)段作為攻擊目標(biāo)，從而實(shí)現(xiàn)在全球范圍內(nèi)快速傳播。盡管微軟已經(jīng)在2017年3月公布了這個(gè)漏洞的補(bǔ)丁，但是還有許多未打補(bǔ)丁的主機(jī)受在到此次WannaCry事件傳播的影響。

　�。鹤⒁猓攸c(diǎn)來了~

　　如何預(yù)防勒索病毒

　　應(yīng)急處置（已經(jīng)中招）

　　對(duì)已經(jīng)中招勒索病毒的用戶，主要任務(wù)在于避免勒索病毒在內(nèi)網(wǎng)中進(jìn)一步擴(kuò)散，并快速恢復(fù)數(shù)據(jù)及業(yè)務(wù)，云寶為您總結(jié)以下措施：

第一時(shí)間隔離被感染主機(jī)與其他主機(jī)，防止勒索病毒的進(jìn)一步擴(kuò)散。
對(duì)被感染主機(jī)所在區(qū)域的主機(jī)進(jìn)行安全風(fēng)險(xiǎn)排查，包括黑客賬戶、開放端口、漏洞、不安全配置（弱密碼等）、惡意程序（木馬后門）等。
利用備份數(shù)據(jù)重新搭建全新的平臺(tái)。新平臺(tái)搭建完成后，對(duì)主機(jī)進(jìn)行安全加固，防止再次感染勒索病毒。

　　預(yù)防方案（提前預(yù)防）

　　一旦勒索病毒攻擊成功，已經(jīng)對(duì)數(shù)據(jù)進(jìn)行加密，用戶損失是幾乎無法避免的，因此提前預(yù)防是重中之重。在這里，云寶為您總結(jié)以下四大絕招和所需服務(wù)：

　　1）數(shù)據(jù)備份

　　預(yù)防勒索病毒最重要的就是要做好數(shù)據(jù)備份�？煽康臄�(shù)據(jù)備份可以將勒索病毒帶來的損失最小化，用戶可以利用備份數(shù)據(jù)快速恢復(fù)平臺(tái)和業(yè)務(wù)。因此，在對(duì)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進(jìn)行備份的同時(shí)，還需要驗(yàn)證備份系統(tǒng)及備份數(shù)據(jù)的可用性，一旦主系統(tǒng)遭受攻擊，保障備份業(yè)務(wù)系統(tǒng)可以立即啟用；同時(shí)，做好主系統(tǒng)與備份系統(tǒng)的安全隔離工作，避免兩系統(tǒng)同時(shí)被感染、被攻擊。

　　推薦服務(wù)與工具：云服務(wù)器備份，云硬盤備份，云數(shù)據(jù)庫RDS提供的數(shù)據(jù)備份功能等。

　　2）網(wǎng)絡(luò)訪問控制

　　精細(xì)化的網(wǎng)絡(luò)管理是業(yè)務(wù)的第一道屏障。通過有效的安全區(qū)域劃分、訪問控制和準(zhǔn)入機(jī)制可以防止或減緩滲透范圍，可以阻止不必要的人員進(jìn)入業(yè)務(wù)環(huán)境。例如典型的網(wǎng)站架構(gòu)從外到內(nèi)可以劃分成Web服務(wù)器區(qū)、中間件服務(wù)器區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)等，并且只允許外部用戶訪問Web服務(wù)器區(qū)，Web服務(wù)器區(qū)只能與中間件服務(wù)器區(qū)單向通信，不能直接訪問數(shù)據(jù)庫服務(wù)器區(qū)等。

　　推薦服務(wù)與工具：虛擬私有網(wǎng)絡(luò)（VPC）、安全組

　　3）主機(jī)安全加固

檢測(cè)與加固弱密碼：配置好系統(tǒng)登錄密碼策略，避免使用弱密碼，要使用符合密碼策略的強(qiáng)密碼，避免多系統(tǒng)使用同一密碼或免密登錄。妥善管理密碼信息，并定期修改密碼。
檢測(cè)與修復(fù)漏洞：企業(yè)IT管理人員需要定期對(duì)操作系統(tǒng)和業(yè)務(wù)軟件資產(chǎn)進(jìn)行安全漏洞掃描，并且盡快修復(fù)掃描發(fā)現(xiàn)的漏洞。同時(shí)，日常也應(yīng)該定期關(guān)注軟件廠商發(fā)布的安全漏洞信息和補(bǔ)丁信息，及時(shí)做好漏洞修復(fù)管理工作。
關(guān)閉非必要端口：根據(jù)業(yè)務(wù)模型確定使用哪些端口，關(guān)閉非必要使用的端口，特別是Windows文件共享服務(wù)、遠(yuǎn)程桌面控制、Telnet和SNMP等不必要、不安全服務(wù)所使用的端口。

　　推薦服務(wù)與工具：

企業(yè)主機(jī)安全服務(wù)：能夠檢測(cè)主機(jī)存在的弱口令、不安全配置、漏洞和開放端口等信息，并給出修復(fù)與加固建議，運(yùn)維人員可以根據(jù)建議對(duì)主機(jī)進(jìn)行安全加固。
安全專家服務(wù)：通過其中的主機(jī)安全加固服務(wù)，由國家信息安全測(cè)評(píng)中心的專業(yè)人員對(duì)主機(jī)進(jìn)行安全加固。

　　4）阻止入侵行為

　　攻擊者的入侵行為是投放勒索病毒的前奏與主要手段。用戶需要安裝主機(jī)安全軟件，對(duì)所有業(yè)務(wù)關(guān)鍵點(diǎn)進(jìn)行實(shí)時(shí)監(jiān)控，當(dāng)發(fā)現(xiàn)入侵行為時(shí)，立即介入處理，防止攻擊者入侵成功后投毒。

　　推薦服務(wù)與工具：企業(yè)主機(jī)安全服務(wù)的入侵檢測(cè)功能能夠有效檢測(cè)和阻斷賬戶暴力破解攻擊、WebShell（網(wǎng)站后門）、與木馬后門等惡意程序。

　　以上，就是云寶為大家提供的勒索病毒錦囊妙計(jì)了，其中相關(guān)的安全服務(wù)詳細(xì)介紹，請(qǐng)?zhí)砑庸娞?hào)“閱讀原文”。