这几天，好几个客户反映不幸中招勒索病毒，急寻蓝队云技术支援。经过情况初步了解，这几家公司都有一些共同原因。比如公司内部安全意识极差，几乎处于“裸奔”状态；基本上都是物理服务器中招；基本上自己难以判断中了勒索病毒。刚好，今天就分享下勒索病毒和一些防范手段、处置办法。

勒索病毒十分危险，它能通过多种方式发起攻击，像利用漏洞、电子邮件、程序木马、网络下载等进行传播。这病毒性质恶劣，危害极大，一旦感染，会给用户带来难以估量的损失。它会用各种加密算法把文件加密，然后勒索高额赎金。被感染的人一般解不了密，只有拿到解密的私钥才有可能破解。所以，防范勒索病毒至关重要。黑客植入病毒完成加密后，会提示受害者文件被加密打不开了，得支付赎金才能恢复文件。

如果你的计算机出现下面这些特征，那就可能中了勒索病毒。

一、电脑桌面被篡改

服务器被勒索病毒感染后，最明显的就是电脑桌面会有很大变化。通常桌面会出现新的文本或网页文件，上面有说明如何解密的信息，同时还会有勒索提示和解密联系方式。下面给大家看看电脑感染勒索病毒后，桌面发生变化的典型示意图。

二、文件后缀被篡改

服务器感染勒索病毒后，另一个典型特征是文件后缀被改了。现在勒索病毒主要有文件加密类、数据窃取类、系统加密类、屏幕锁定类等。这些勒索病毒一般通过下面几种方式传播：

①利用安全漏洞传播：攻击者会利用弱口令、远程代码执行等网络产品安全漏洞（很多是已公开且有补丁，但没及时修复的漏洞），入侵用户内部网络，拿到管理员权限，然后传播勒索病毒。

②利用钓鱼邮件传播：攻击者把勒索病毒藏在钓鱼邮件的文档、图片附件里，或者把恶意链接写在邮件正文里。一旦用户打开或点击，病毒就会自动加载、安装，威胁整个网络安全。

③利用网站挂马传播：攻击者攻击网站，在网站上植入恶意代码，或者自己搭建有恶意代码的网站，诱导用户访问，触发恶意代码，劫持用户页面到勒索病毒下载链接并执行，把病毒植入用户设备。

④利用移动介质传播：攻击者隐藏 U 盘、移动硬盘等移动存储介质的原有文件，创建和介质盘符、图标一样的快捷方式。用户一点击，就会自动运行勒索病毒，或者运行收集设备信息的木马程序，方便以后勒索。

⑤利用软件供应链传播：攻击者利用软件供应商和用户之间的信任关系，攻击软件供应商的服务器，在合法软件传播、升级过程中劫持或篡改软件，规避用户网络安全防护机制，传播勒索病毒。

⑥利用远程桌面入侵传播：攻击者通常用弱口令、暴力破解等方式拿到攻击目标服务器的远程登录用户名和密码，然后通过远程桌面协议登录服务器，植入勒索病毒。而且一旦成功登录，获得服务器控制权限，就可以以服务器为跳板，在用户内部网络进一步传播勒索病毒。

那我们该怎么防范勒索病毒呢？下面是一些方法和步骤。

一、更换弱口令

弱口令是勒索病毒攻击的主要途径之一。如果你的电脑、服务器、数据库密码比较简单，那就赶紧换个复杂点的密码。

方法一：尽量用“字母+数字+特殊符号”的形式，密码长度可以设置为 8 位或更多，把字母、数字和符号混在一起。方法二：用几个词组成非固定短语做密码，词与词之间用下划线等符号分隔。比如“%you_i_think%”就比“imissyou”更安全。方法三：实在记不住复杂密码，非得用名字、纪念日或电话号码设置密码的，就用某种方法变换一下。比如可以敲击键盘的左上一个键来改换拼音字母，这样被猜到或破解的可能性就会大大降低。

二、安装安全防护软件

推荐大家下载使用火绒或者 360 杀毒，总比“裸奔”强多了。安装安全防护软件能有效防止勒索病毒攻击。我们要打开安全软件的防护功能，保持开启状态，还要让病毒库保持更新。同时，定期进行安全扫描和漏洞扫描，及时发现和修复安全问题。还要定期进行全盘扫描和实时监控，及时发现和清除病毒。

三、加强安全意识

大家一定要了解勒索病毒的危害和传播途径，这里有几点建议：

l别轻易下载或点击不明来源的文件，也别打开可疑的网站链接。

l别打开陌生邮件地址发的邮件、邮件链接及其附件。

l定期关电脑，防止病毒不断攻击。

l给计算机系统设个强密码，定期更换，别让攻击者轻易破解。

l在家办公连接公司网时，要用 VPN 连接内部网络。像向日葵、todesk 等其他远程连接方式感染病毒的风险比较大，不用的时候别打开。

l服务器或计算机闲置时，别开放不必要的数据库端口、局域网共享端口和远程访问、登录、连接相关的接口和服务。需要远程连接的时候再打开，用完立刻关闭远程访问功能。

l尽量用正版软件，别用破解软件和激活工具，很多破解软件都可能带木马。网络与信息中心官网有很多正版软件可以用。

l在 PC 端的设置 - 网络与 Internet - WLAN - IP 分配中，改成自动 DHCP 分配。

l别连接未经授权的 USB、SD 卡或其他外部存储介质，包括个人使用的也不行。

lU 盘等外部存储介质连接计算机设备和 PC 时，要先杀毒（火绒、360 等安全软件一般会自动扫描）。

四、备份重要数据

定期备份重要数据，能有效避免勒索病毒攻击造成的数据损失和泄露。把数据存到安全的地方，比如云端或外部存储设备。

五、加强漏洞修复

①别再用 Windows XP、Windows 2003、Windows Vista 等微软不再提供安全更新的操作系统了，可以去东南大学网络与信息中心下载正版 win10 系统。及时修复计算机系统和应用软件的漏洞，安装 Windows 漏洞补丁和升级程序。

②确保常用软件是最新版本，定期更新电脑里的软件，避免旧版本存在安全漏洞。

六、使用安全的网络环境和网络设备

选择可靠的网络安全产品和网络设备，别用不可信的 Wi-Fi，这样能有效避免勒索病毒攻击。

七、已受到勒索病毒攻击怎么办

如果已经中了勒索病毒，千万别轻易支付赎金。因为赎金大多是比特币等加密货币，一旦支付就基本追不回来了。支付赎金只会让攻击者更嚣张，继续攻击勒索，而且也不能保证数据能被解密。也先别查杀病毒，有些勒索病毒把用户文件加密后还植入了病毒，要是查杀病毒，可能会把被加密的文件也删掉。这时候应该第一时间联系网络与信息中心，寻找更有效的解决办法。

蓝队云作为扎根云南本土的云计算及网络安全服务商，拥有一支专业的安全团队，能够为政企单位提供完善的安全服务。企业中了勒索病毒，蓝队云将依据完善的服务流程，开启应急处理。此外，蓝队云还提供风险评估、渗透测试、攻防演练、等保合规、密评改造等各类安全服务。