勒索病毒防范(eking勒索病毒文件恢复)

看完本文，您将成为企业数据守护者和信息安全管理专业人士，指导企业防范勒索病毒，加强数据安全管理。本文主要有三个方面的内容。一是让大家了解勒索病毒的传播方式和原理，二是教大家如何防范勒索病毒，三是感染了勒索病毒怎么办。本文约3000字，阅读时间约10分钟。

近年来，勒索软件严重影响了企业数据的安全。一旦感染，将给企业用户带来不可估量的损失。它通过网络和系统漏洞，将病毒植入受害者的电脑或服务器，对硬盘甚至整个硬盘上的关键文件(如ERP数据库文件)进行加密，然后向受害者索要赎金，才被解密。一旦感染，将给企业用户带来不可估量的损失。去年笔者处理了五家公司的勒索病毒事件。通过对企业日常信息安全工作的调查，结合实际工作经验，希望能对大家有所帮助。

一、勒索软件的传播方式

(一)浏览感染病毒的网络

用户浏览存在安全威胁或不健康网络的网站，系统被木马感染勒索病毒。

(2)收发邮件要分散

电子邮件传播病毒，病毒执行者附在电子邮件附件的docx、XLS、TXT等文件中。攻击者通过扩展网络来大量传播垃圾邮件和网络钓鱼电子邮件。一旦收件人打开邮件附件或点击邮件中的链接地址，勒索软件就会以用户看不见的方式在后台静默安装，实施勒索。

(三)利用操作系统或网络设备漏洞。

利用漏洞传播是一种常见的方式。通过网络、系统和应用的漏洞攻击用户。例如，在WINDOWS系统中，攻击者会利用135、137、138、139和445端口的漏洞来感染网络中的计算机。

(4)捆绑并传播安装软件

与其他恶意软件捆绑在一起，这种传播方式在过去两年发生了变化。部分用户使用Bt、迅雷等P2P下载工具下载文件，下载的文件捆绑了勒索病毒，导致用户感染。建议企业对常用软件建议软件白名单库，将常用软件经过病毒查杀和恶意代码查杀后放在公司的文件服务器中，通过策略设置禁止白名单之外的软件任意安装。

(五)移动存储媒体的普及

可移动存储介质，如USB闪存驱动器、本地和远程驱动器、网络共享通信和社交媒体通信。

通过以上传播方式，我们总结如下:

二、如何防范勒索病毒入侵

(一)预防为主，高度重视。

所有活动都注重预防，将风险放在前面。企业全员参与信息安全，做好安全教育，养成良好的计算机网络使用习惯，如建立信息安全制度，制定相应的信息安全管理制度，组织员工开展信息安全培训等。在对事发企业日常信息化调查过程中，发现领导不重视信息安全管理，对信息安全管理没有任何要求，没有为员工上网安装电脑杀毒软件，没有设置电脑密码。网络边界没有安全防护设备，计算机操作系统的本地防火墙没有开启等。，尤其是财务管理系统，比如ERP系统，没有设置账套主管密码，远程桌面由服务器开启，增加了病毒感染的风险。

(2)加强网络层的防御。

现在我们离不开互联网，正在经历全球互联网的浪潮。几乎所有的商业企业都已经连接到互联网。企业的边界逐渐模糊，网络逐渐成为企业的虚拟边界。需要加强企业网络层的安全防御级别，防止来自网络层的恶意攻击。建议所有接入互联网的企业在网络边界部署防火墙、入侵检测等安全设备。设备安装后，应配置相应的安全策略使其生效，并定期进行安全策略检查和日志检查。在有经验的企业中，有的企业在接入互联网的边界没有任何安全措施，普通家用路由器直接接入互联网，有的买了安全设备，接入网没有安全策略配置，初始密码没有更改。建议制定安全设备策略规则，经审核后实施。

(3)加强应用系统保护。

目前，企业用户广泛使用ERP、CRM、OA等管理软件，并开始将事务、管理和运营的数据迁移到信息系统中，因此管理和业务软件的安全性非常重要。由于勒索软件的泛滥，已经出现了多起企业ERP系统被加密，企业业务无法正常开展的情况。不同的管理和业务系统软件，由于其开发语言、开发流程、开发环境的不同，以及其应用场景、应用流程、应用环境的不同，其安全风险也不同。建议主要业务系统利用系统数据备份功能每天进行数据备份，并通过自动化脚本将数据备份到其他版本的系统。比如ERP系统数据从WINDOWS系统备份到LINUX文件系统。同时要注意及时更新厂商针对重大系统漏洞推出的系统漏洞补丁(强烈建议更新前做好数据备份)。接触的另一家公司ERP系统的数据库被加密了，然后通过LINUX系统中备份的数据恢复。对于远程访问，建议使用VPN进行安全连接，避免服务器直接暴露在互联网上。

(4)强化服务器操作系统。

可为服务器操作系统内核提供安全防御，通过内核级加固、强制访问控制和自我保护，提高操作系统抵御黑客攻击和恶意代码的能力，有效检测和拦截已知和未知的安全威胁，全方位保障服务器操作系统、业务系统和数据内容的安全，如及时更新操作系统补丁、设置复杂密码、定期修改、安装病毒软件和恶意代码查杀软件等。打开操作系统的病毒墙，关闭不用的通讯端口。对于远程访问，如端口3389，只允许指定的机器通过防火墙策略设置登录。同时，定期检查防火墙日志和操作系统日志信息。如果日志被清除或防火墙规则增加或减少，应引起注意。

(5)加强终端安全防御。

勒索病毒的目的很简单:控制企业的核心业务系统，掌握企业的重要业务数据。只有这样，企业才能快速支付赎金。实践和统计表明，95%以上针对企业用户的网络攻击都是针对业务服务器和业务终端的。而很多企业用户对核心业务系统基础设施(服务器、PC)的保护意识薄弱，认为安装一个免费的杀毒软件就可以“万事大吉”。就终端防御而言，查杀病毒只是一个环节，还需要科学防御“操作系统补丁、操作系统漏洞、高持续性攻击、0day攻击”。建议:企业用户要做好两方面的安全防御。服务器要做好主机加固、终端安全管理、防病毒管理。有条件的企业可以购买企业版杀毒软件进行统一部署和管理。

(6)做好数据备份。

数据备份是关键。不要忘记随时备份你的数据。备份你的数据是你的企业被勒索病毒攻击后最后的补救措施。但新型勒索软件越来越智能，会主动搜索备份设备和备份软件。一旦发现，备份系统会优先加密勒索。在我们遇到的案例中，企业ERP系统被勒索病毒攻击，运行服务器、容灾服务器、备份服务器被一起带走，业务数据丢失长达6年。我们建议企业用户每天备份他们的关键数据。对于有条件的企业，建议异地备份，通过网络隔离保证备份数据的安全。

三、中了勒索病毒怎么办？

不幸的是，如果你得到了一个勒索软件，你可以按照以下方法处理:第一，立即断开病毒的电脑网络连接，在全网查杀病毒，重新格式化被感染的电脑，安装操作系统(在接触的企业中，发现有一台电脑被感染后，没有及时断开连接，两天内网络中有40多台电脑被感染)；第二，如果主业务系统，比如ERP系统，可以通过备份数据恢复，如果没有备份数据，可以通过第三方数据恢复厂商恢复。因为ERP系统的数据库在运行，有些数据是可以通过技术手段恢复的，当然费用昂贵。部门业务数据的加密，比如WORD文件，可以通过第三方数据恢复公司进行恢复，这种方式无法保证恢复。第三，如果数据不急着用，攻击者可以释放解密密钥以后再解密。

希望这篇文章对大家有所帮助，一起关注我对安全的学习。