勒索软件防范指南

勒索软件是黑客用来劫持用户资产或资源实施勒索的一种恶意程序。黑客利用勒索软件，通过加密用户数据、更改配置等方式，使用户资产或资源无法正常使用，并以此为条件要求用户支付费用以获得解密密码或者恢复系统正常运行。

主要勒索形式

• 文件加密勒索
• 锁屏勒索
• 系统锁定勒索
• 数据泄露勒索

主要传播方式

• 钓鱼邮件传播
• 网页挂马传播
• 漏洞传播
• 远程登录入侵传播
• 供应链传播
• 移动介质传播

2021年上半年，勒索软件攻击愈发频繁，发生多起重大事件

• 3月20日，计算机制造商宏碁（Acer）遭Revil勒索软件攻击，被要求支付5000万美元赎金
• 5月7日，美国油管道公司Colonial Pipeline遭Dark-side勒索软件攻击，导致东海岸液体软料停止运营
• 5月26日，国内某大型地产公司遭REvil勒索软件攻击，窃取并加密了约3TB的数据
• 5月31日，全球最大的肉类供应商IBS遭REvil勒索软件攻击，导致澳大利亚所有JBS肉类工厂停产

防范勒索软件“九要”

01要做好资产梳理与分级分类管理

清点和梳理组织内的信息系统和应用程序，建立完整的资产清点；梳理通信数据在不同信息系统或设备间的流动方向，摸清攻击者横向移动可能路径；识别内部系统与外部第三方系统间的连接关系，尤其是与合作伙伴共享控制的区域，降低勒索软件从第三方系统进入的风险；对信息系统、数据进行分级分类，识别关键业务和关键系统，识别关键业务和关键系统间的依赖关系，确定应急响应的优先级。

02要备份重要数据和系统

重要的文件、数据和业务系统要定期进行备份，并采取隔离措施，严格限制对备份设备和备份数据的访问权限，防止勒索软件横移对备份数据进行加密。

03要设置复杂密码并保密

使用高强度且无规律的登录密码，要求包括数字、大小写字母、符号，且长度至少为8位的密码，并经常更新密码；对于同一局域网内的设备杜绝使用同一密码，杜绝密码与设备信息（例如IP、设备名）具有强关联性。

04要定期安全风险评估

定期开展风险评估与渗透测试，识别并记录资产脆弱性，确定信息系统攻击面，及时修复系统存在的安全漏洞。

05要常杀毒、关端口

安装杀毒软件并定期更新病毒库，定期全盘杀毒；关闭不必要的服务和端口，包括不必要的远程访问服务（3389端口、22端口），以及不必要的135、139、445等局域网共享端口等。

06要做好身份验证和权限管理

加强访问凭证颁发、管理、验证、撤销和审计，防止勒索软件非法获取和使用访问凭证，建议使用双因子身份认证；细化权限管理，遵守最小特权原则和职责分离原则，合理配置访问权限和授权，尽量使用标准用户而非管理员权限用户。

07要严格访问控制策略

加强网络隔离，使用网络分段、网络划分等技术实现不同信息设备间的网络隔离，禁止或限制网络内机器之间不必要的访问通道；严格远程访问管理，限制对重要数据或系统的访问，如无必要关闭所有远程管理端口，若必须开放远程管理端口，使用白名单策略结合防火墙、身份验证、行为审计等访问控制技术细化访问授权范围，定期梳理访问控制策略。

08要提供人员安全意识

为组织内人员和合作伙伴提供网络安全意识教育；教育开放人员和测试环境要与生产环境开放，防止勒索软件从开放和测试系统传播到生产系统。

09要制定应急响应预案

针对重要信息系统，制定勒索软件应急响应预案，明确应急人员与职责，制定信息系统应急和恢复方案，并定期开展演练；制定事件响应流程，必要时请专业安全公司协助，分析清楚攻击入侵途径，并及时加固堵塞漏洞。

防范勒索软件“四不要”

01不要点击来源不明邮件

勒索软件攻击者常常利用受害者关注的热点问题发送钓鱼邮件，甚至还会利用攻陷的受害者单位组织或熟人邮件发送钓鱼邮件，不要点击此类邮件正文中的连接或附件内容。如果收到了单位组织内或熟人的可疑邮件，可直接拨打电话向其核实。

02不要打开来源不可靠网站

比浏览色情、赌博等不良信息网站，此类网站经常被勒索软件攻击者发起挂马、钓鱼等攻击。

03不要安装来源不明软件

不要从不明网站下载安装软件，不要安装陌生人发送的软件，警惕勒索软件伪装为正常软件的更新升级。

04不要插拔来历不明的存储介质

不要随意将来历不明的U盘、移动硬盘、闪存卡等移动存储设备插入机器。

勒索软件应急处置方法

当机器感染勒索软件后，不要慌张，可立即开展以下应急工作，降低勒索软件产生的危害。

01隔离网络

采用拔掉网络或者禁用网络等方式切断受感染机器的网络连接，避免网络内其他机器被进一步感染渗透。

02分类处置

当发现机器上重要文件尚未被加密时，应立即终止勒索软件进程或关闭机器，及时止损；当发现机器上重要文件已被全部加密时，可保持机器开机原状态，等待专业处置。

03及时报告

及时报告网络管理员，通知其他可能会受到勒索软件影响人员。造成重大影响时，及时向网络安全主管部门报告。

04排查加固

立即视情况切断网络内机器间不必要的网络连接，修改网络内机器的弱口令密码。全面排查勒索软件植入途径，并及时堵塞漏洞。尽快对网络内机器进行全面漏洞扫描与安全加固。

05专业恢复

请专业公司和人员进行数据和系统恢复工作。