勒索軟件防范指南

勒索軟件是黑客用來劫持用戶資產或資源實施勒索的一種惡意程序。黑客利用勒索軟件，通過加密用戶數據、更改配置等方式，使用戶資產或資源無法正常使用，并以此為條件要求用戶支付費用以獲得解密密碼或者恢復系統正常運行。

主要勒索形式

• 文件加密勒索
• 鎖屏勒索
• 系統鎖定勒索
• 數據泄露勒索

主要傳播方式

• 釣魚郵件傳播
• 網頁掛馬傳播
• 漏洞傳播
• 遠程登錄入侵傳播
• 供應鏈傳播
• 移動介質傳播

2021年上半年，勒索軟件攻擊愈發頻繁，發生多起重大事件

• 3月20日，計算機制造商宏碁（Acer）遭Revil勒索軟件攻擊，被要求支付5000萬美元贖金
• 5月7日，美國油管道公司Colonial Pipeline遭Dark-side勒索軟件攻擊，導致東海岸液體軟料停止運營
• 5月26日，國內某大型地產公司遭REvil勒索軟件攻擊，竊取并加密了約3TB的數據
• 5月31日，全球最大的肉類供應商IBS遭REvil勒索軟件攻擊，導致澳大利亞所有JBS肉類工廠停產

防范勒索軟件“九要”

01要做好資產梳理與分級分類管理

清點和梳理組織內的信息系統和應用程序，建立完整的資產清點；梳理通信數據在不同信息系統或設備間的流動方向，摸清攻擊者橫向移動可能路徑；識別內部系統與外部第三方系統間的連接關系，尤其是與合作伙伴共享控制的區域，降低勒索軟件從第三方系統進入的風險；對信息系統、數據進行分級分類，識別關鍵業務和關鍵系統，識別關鍵業務和關鍵系統間的依賴關系，確定應急響應的優先級。

02要備份重要數據和系統

重要的文件、數據和業務系統要定期進行備份，并采取隔離措施，嚴格限制對備份設備和備份數據的訪問權限，防止勒索軟件橫移對備份數據進行加密。

03要設置復雜密碼并保密

使用高強度且無規律的登錄密碼，要求包括數字、大小寫字母、符號，且長度至少為8位的密碼，并經常更新密碼；對于同一局域網內的設備杜絕使用同一密碼，杜絕密碼與設備信息（例如IP、設備名）具有強關聯性。

04要定期安全風險評估

定期開展風險評估與滲透測試，識別并記錄資產脆弱性，確定信息系統攻擊面，及時修復系統存在的安全漏洞。

05要常殺毒、關端口

安裝殺毒軟件并定期更新病毒庫，定期全盤殺毒；關閉不必要的服務和端口，包括不必要的遠程訪問服務（3389端口、22端口），以及不必要的135、139、445等局域網共享端口等。

06要做好身份驗證和權限管理

加強訪問憑證頒發、管理、驗證、撤銷和審計，防止勒索軟件非法獲取和使用訪問憑證，建議使用雙因子身份認證；細化權限管理，遵守最小特權原則和職責分離原則，合理配置訪問權限和授權，盡量使用標準用戶而非管理員權限用戶。

07要嚴格訪問控制策略

加強網絡隔離，使用網絡分段、網絡劃分等技術實現不同信息設備間的網絡隔離，禁止或限制網絡內機器之間不必要的訪問通道；嚴格遠程訪問管理，限制對重要數據或系統的訪問，如無必要關閉所有遠程管理端口，若必須開放遠程管理端口，使用白名單策略結合防火墻、身份驗證、行為審計等訪問控制技術細化訪問授權范圍，定期梳理訪問控制策略。

08要提供人員安全意識

為組織內人員和合作伙伴提供網絡安全意識教育；教育開放人員和測試環境要與生產環境開放，防止勒索軟件從開放和測試系統傳播到生產系統。

09要制定應急響應預案

針對重要信息系統，制定勒索軟件應急響應預案，明確應急人員與職責，制定信息系統應急和恢復方案，并定期開展演練；制定事件響應流程，必要時請專業安全公司協助，分析清楚攻擊入侵途徑，并及時加固堵塞漏洞。

防范勒索軟件“四不要”

01不要點擊來源不明郵件

勒索軟件攻擊者常常利用受害者關注的熱點問題發送釣魚郵件，甚至還會利用攻陷的受害者單位組織或熟人郵件發送釣魚郵件，不要點擊此類郵件正文中的連接或附件內容。如果收到了單位組織內或熟人的可疑郵件，可直接撥打電話向其核實。

02不要打開來源不可靠網站

比瀏覽色情、賭博等不良信息網站，此類網站經常被勒索軟件攻擊者發起掛馬、釣魚等攻擊。

03不要安裝來源不明軟件

不要從不明網站下載安裝軟件，不要安裝陌生人發送的軟件，警惕勒索軟件偽裝為正常軟件的更新升級。

04不要插拔來歷不明的存儲介質

不要隨意將來歷不明的U盤、移動硬盤、閃存卡等移動存儲設備插入機器。

勒索軟件應急處置方法

當機器感染勒索軟件后，不要慌張，可立即開展以下應急工作，降低勒索軟件產生的危害。

01隔離網絡

采用拔掉網絡或者禁用網絡等方式切斷受感染機器的網絡連接，避免網絡內其他機器被進一步感染滲透。

02分類處置

當發現機器上重要文件尚未被加密時，應立即終止勒索軟件進程或關閉機器，及時止損；當發現機器上重要文件已被全部加密時，可保持機器開機原狀態，等待專業處置。

03及時報告

及時報告網絡管理員，通知其他可能會受到勒索軟件影響人員。造成重大影響時，及時向網絡安全主管部門報告。

04排查加固

立即視情況切斷網絡內機器間不必要的網絡連接，修改網絡內機器的弱口令密碼。全面排查勒索軟件植入途徑，并及時堵塞漏洞。盡快對網絡內機器進行全面漏洞掃描與安全加固。

05專業恢復

請專業公司和人員進行數據和系統恢復工作。