勒索病毒(Ransomware)與其他病毒最大的不同在于感染手法及中毒的方式。

它利用計算機的一些功能給系統上了一把“鎖“，或者對磁盤上的文件進行加密，從而對信息的系統的可用性造成巨大影響。

然而，不同于其他的破壞性病毒，勒索病毒要求受害者繳納贖金來恢復系統。

勒索病毒在傳播和感染方面與一般的計算機病毒沒有任何區別，主要從以下幾個方向去感染目標計算機系統。

勒索病毒感染目標計算機系統的五個方向

1. 系統漏洞與早期沖擊波病毒利用了Windows RPC/DCOM漏洞攻擊了世界范圍內絕大多數的Windows系統類似，Wannacry勒索病毒利用了永恒之藍(MS17-010)在全球范圍內迅速傳播。

2. 應用漏洞病毒借用公開的利用程序對存在漏洞的應用系統攻擊，將自身的惡意代碼運行在操作系統，例如Weblogic反序列化漏洞、Struts2表達式注入漏洞。

另一類需要人工或者自動化的工具挖掘未公開的漏洞來攻擊應用系統，運行病毒程序。

3. 口令、令牌管理不當，應用配置不當等例如，如果系統管理員賬號的口令強度太弱，攻擊者就可以使用自動化工具暴力猜測密碼，進而通過開放的RDP服務(遠程桌面服務)直接管理服務器，注入惡意程序。

4. 社會工程學利用人的弱點、習慣，結合各類工具漏洞、技術手段誘使受害者泄露某些機密或者運行某些惡意程序。

無論是基于“鎖”還是基于加密的勒索病毒，它所利用的技術和機制均是出于安全目的設計的，在不知曉密鑰/密碼信息的前提去破譯其中的內容，均存在一定的技術和時間成本。

除非攻擊者愿意提供相應的敏感信息，被勒索病毒所綁架的數據基本上無法進行恢復，從而造成嚴重的數據丟失。

在缺少備份文件的情況，它會導致整個系統完全癱瘓甚至報廢。

5. 勒索病毒對企業數據安全的沖擊隨著信息技術的進步，企業在運營過程中對ERP、CRM、OA等智能辦公系統的核心數據的依賴性越來越高。

所謂“三分技術、七分管理、十二分數據”，充分說明了數據在信息化系統中的核心地位和作用。

然而，肆意的勒索病毒成為企業數據安全的噩夢。

2017年，美國醫藥巨頭默克集團(Merck)遭受嚴重的勒索病毒攻擊，在銷售方面造成的損失超過1.35億美元，而其他損失超過1.75億美元，總計直接損失3.1億美元。

全球最大的船運公司馬士基集團(Maersk)遭受NonPetya勒索病毒攻擊，造成超過4000臺業務服務器、45000臺業務終端被惡意加密勒索，迫使業務一度暫停，造成超過3億美元直接損失。

與此同時，全球最大的快遞運輸公司聯邦快遞(Fedex)也遭受同類勒索病毒攻擊，造成累計3億美元的直接損失。

除此之外，烏克蘭航空、利潔時集團、美國印第安納州州立醫院等大量企業均遭受勒索病毒侵害，造成不同程度經濟、業務損失。

放眼國內，隨著去年WannaCry病毒爆發，勒索病毒逐步開始被人們所熟知，但是在面臨嚴重的企業數據安全挑戰的時候大家仍然無動于衷，導致遭受攻擊后追悔莫及。

國內諸多企事業單位、上市公司、大中型民營企業均遭受嚴重的勒索病毒攻擊，且相應案例仍在持續上升，損失也越來越大。

我們通過大量勒索病毒攻擊事件應急響應處置后，總結出如下幾點最容易感染勒索病毒的安全隱患：業務便利，內部辦公系統安全措施不到位情況下直接對外開放;運維方便，將內部系統的控制服務、數據庫管理端口對外開放;操作系統管理、數據庫管理、應用服務、業務系統存在弱口令;操作系統及應用長期不更新，不打補丁，不裝殺毒軟件;辦公網絡與服務器處在同網段，無任何隔離措施;敏感服務器無任何安全防護系統;無數據備份措施或同機備份;服務器上U盤等介質亂插;無專職網絡管理員。

勒索病毒趨勢勒索病毒自最早在1989年發現的AIDS木馬病毒已經逐步演變成大量可自我復制、主動提權、內網傳播等高級功能的病毒，尤其2012年后，相應的變種數量逐年增加，逐步形成巨大黑色產業鏈。

安恒信息研究院研究員通過大量統計分析發現，大量樣本均利用了較近爆發的Windows系統嚴重安全漏洞，能夠自動感染、傳播，對服務器、工作終端均有嚴重危害。

專業測評機構根據近幾年全球勒索病毒對企業數據影響造成的損失測算，2019年全球因勒索病毒損失將達到115億美元，這個數字相當于一個中等發達水平國家全年GDP，損失之大，碾壓其他計算機病毒。

企業信息化作為企業可持續性發展的基本條件，其重要的涉及生產制造、研發創新、營銷市場、財務人力、采購審計等CRM、ERP、OA等辦公系統都將是眾矢之的，一旦感染，損失會非常慘重。

勒索病毒防范措施與應急處置首先要做的是事前的防護和預警，在勒索病毒發作之時，一切為時已晚。

可以從以下幾個方面進行勒索病毒安全防范：

1. 應用程序方面進行數據備份時，至少應該做到異機備份，避免服務器在遭受攻擊后系統完全癱瘓無法恢復。

最好能有多個備份，包括熱備注、災備等。

定期關注相關應用程序廠商的公告和漏洞提醒，在測試后及時更新，避免攻擊者通過Xday漏洞攻擊服務器。

定期對應用程序進行滲透測試等，確保應用程序的安全性。

如果是第三方軟件，可以延長測試周期。

對應用程序內的口令進行管理，同時做好應用程序審計信息的保存。

2. 操作系統方面對操作系統進行加固檢查。

及時更新關鍵操作系統補丁。

定期使用漏洞掃描工具對操作系統進行檢測，發現潛在的已知或未知漏洞保存相關審計數據安裝終端防護軟件網絡安全解決方案部署防火墻、應用防火墻、入侵防護系統(IPS)等專用的安全設備，如果有條件可以追加部署其他安全設備和審計設備，例如數據庫審計設備、日志審計設備等。

3. 管理的角度組織安全意識和應急響應的相關培訓，提高個人安全意識。

有條件的話，對內部操作進行記錄以方便審計。

安全不是絕對的，百密總有一疏。

如果真的被勒索病毒綁架，我們就需要盡可能地減少損失。

首先是將受影響的服務器從網絡上下線，避免病毒進一步擴散，控制影響范圍和損失。

立即聯系安全廠商和專業人員進行處理。

如果是處于勒索病毒發作的初期(未能加密完系統所有的數據)，可以通過中斷勒索病毒程序來減少損失，比較直接簡單的方式是斷電。

盡管這不可避免會產生一些額外的數據丟失風險(緩存、內存中的數據)，但是基本上可以防止勒索病毒進一步加密系統文件，破壞整個系統。

之后使用PE工具讀取磁盤、備份所有數據并嘗試恢復。

另一種方式是利用一些安全工具臨時刪除運行中勒索病毒，對數據進行緊急備份，后期可以分析提取出其中有價值的數據，但是有可能會造成操作系統死機等其他情況。

如果勒索病毒已經運行了一段時間，完成了加密加鎖，這種情況下需要保存備份進一步分析確認病毒的加密方式、是否存在未被加密的有效數據、是否能夠恢復等。

在嘗試還原被勒索病毒綁架的數據之前，還需要盡可能的確認攻擊者的攻擊路徑，避免上線的熱備份服務器在短時間再次遭受攻擊