勒索病毒防护“偏方”竟是致命雷区？看到第一条就扎心了

从恶贯满盈的WannaCry，到层出不穷的模仿者与后来者，兴风作浪多时的勒索病毒，靠着加密文件敲诈钱财的恶劣手段，不仅让幕后的一个个黑客团伙赚得盆满钵满，更成为了危及全球政府、企业、个人的网络“毒瘤”。


自1989年勒索病毒雏形诞生，到三年前因WannaCry而广为熟知，勒索病毒攻击范围和攻击领域，逐渐向全领域、跨行业、全球化拓展。但勒索病毒如何频频让政府、企业缴纳巨额赎金？

今天，就从大部分人对勒索病毒的四大误区入手，跟大家详细讲讲高额赎金背后鲜为人知的勒索病毒。

误区一：破解软件全能易用，网友力荐怎会翻车？

破解软件、激活工具是大多数用户的“挚爱”，殊不知免费的程序常常带“毒”。在众多勒索病毒家族中，2018年活跃至今的Stop家族，就热衷于藏身专门下载破解软件激活工具的境外网站，勒索于“无形”。

为了避免暴露，隐匿于激活工具、破解软件中的Stop勒索病毒，还迭代出了首次运行时不会显露过多可疑行径的“进阶版”。

一旦感染，“进阶”的勒索病毒会先将自身“悄悄”写入启动项中，当毫无察觉的用户再次开机启动设备时，就会显露真容，尽可能地加密用户所有文件，实施勒索。

360安全大脑的持续监测中，甚至曾发现一些勒索软件，会在长时间的隐藏后，再实施加密勒索。

误区二：系统沦陷一时所为，欲要解忧只需散财？

与勒索病毒的较量，是一场长期的对抗，感染勒索病毒的过程，也不是一蹴而就的，尤其是黑客手动投毒传播的勒索病毒，往往不会像大多数人想的那样，在攻陷目标机器后第一时间就投放勒索病毒。

在一段受害用户机器上的远程登录日志(仅截取部分数据)中，360安全大脑分析发现，该受害者机器在中毒之前就已被黑客多次“光顾”，而实际被实施加密勒索，已经是3天后的事情。

在众多案例中，甚者有黑客潜伏半年之久，每天盯着用户的一举一动，迟迟不实施勒索的情况。

（受害机器部分远程登录日志）

同时，在对该受害者机器进行分析时，360安全大脑还发现了多个黑客工具，具体涉及多个口令登录收集工具、端口扫描工具、口令爆破工具。而使用这些工具的目的，其实都是在尝试将已被攻陷机器作为跳板，进而攻击内网其他机器扩大感染范围。

2020年以前，大多数勒索病毒还只是“单纯”的“加密者”，而进入2020年后，为了进一步提高支付率、支付金额的黑客组织，往往会在投“毒”时，一并收集受害者(更多为企业)信息数据，进行强针对性的勒索，并以公开数据威胁受害者支付赎金。

以下是受害者和黑客对话的部分截图：

虽然面临数据泄露的威胁，但依然有很多企业拒绝向黑客妥协。至于原因，一方面是考虑到支付赎金后可能会变相激起黑客再次攻击的热情，另一方面则是勒索赎金所需费用过于高昂。

下图是黑客“信守承诺”公布受害者重要数据的页面：

误区三：治毒还需“民间偏方”，“重装”上阵所向披靡？

不知何时起，“何以解忧，唯有重装”的信条，成了一些“技术帝”的座右铭。他们“单纯”的认为无论中了多么了不得的病毒，只要重装系统就可以高枕无忧。但从应急响应的实践经验来看，如果没有排查出中“毒”的具体原因，并将“敞开的大门”关上，二次中招只是时间早晚的问题。

下面就梳理了三种最常见的情形：

1、国内普遍存在的情况是由于开启远程桌面，设置了弱口令导致被黑客攻陷。若不修改口令，不管重装多少次，这个“漏洞”都会“爆雷”。
2、某软件或某版本的软件存在后门/漏洞，那么受害者重装后再次部署该软件，就等于机器上的后门/漏洞依旧存在。
3、近两年比较热门的U盘蠕虫下发勒索病毒，若只是重装系统，不处理带有蠕虫的U盘，再次中招概率依然居高不下。

误区四：一朝“蛇咬”终身无惧，勒索病毒不“铲”自除？

除了误以为“解千愁”的重装系统，还有很多受害者潜意识的认为，勒索病毒“一次中毒，终身免疫”，轻信闪电不会击中同一个位置两次。但从网络攻防的实践经验来看，闪电虽然不一定会击中同一个位置两次，但黑客入侵同一个目标两次（或更多次），却是常态。

正如前一点中强调的那样，如不能及时查缺补漏，即便重装系统，黑客依然可以驾轻就熟地再次进入目标机器。甚至不排除，黑客在公司网络某个节点留下后门，持续关注受害者动态的可能。

在Maze勒索病毒传播团队的官方新闻中，就明确指出该家族会一直关注他们的“受害者”，甚至持续窃取受害者数据。

勒索“撕票”皆不惧
防治勒索病毒有高招

打破对勒索病毒的认知误区，更要知道如何高效地应对勒索病毒，下面360安全大脑基于自身全视海量安全大数据、全球顶级安全专家、全面独有攻防知识，详解如何发现中“毒”，并快速响应予以后续防护。

一、发现勒索病毒“中招”的正确处理流程

1、发现中毒机器应立即断开网络连接，关闭计算机，其中断开网络可阻止勒索病毒内网横向传播，关闭计算机可及时阻止勒索病毒继续加密文件。
2、联系安全厂商，对内部网络进行排查处理。
3、由于无法确定黑客掌握多少内部机器口令，发现中招后第一时间更换公司内部所有机器口令。

二、防止勒索病毒“中招”的后续防护

针对服务器的勒索病毒攻击，依然是当下勒索病毒经营团伙的主要方向，也就是说企业亟需加强自身信息安全管理能力，尤其是对弱口令、漏洞、文件共享和远程桌面等部分的管理。

针对勒索病毒威胁，360安全大脑针对企业网络管理给出如下建议：
1、多台机器，不要使用相同的账号和口令；
2、登录口令要有足够的长度和复杂性，并定期更换登录口令；
3、重要资料的共享文件夹应设置访问权限控制，并进行定期备份；
4、定期检测系统和软件中的安全漏洞，及时打上补丁；
5、定期到服务器检查是否存在异常。查看范围包括：
（1）是否有新增账户
（2）Guest是否被启用
（3）Windows系统日志是否存在异常
（4）杀毒软件是否存在异常拦截情况
6、安装安全防护软件，并确保其正常运行；
7、从正规渠道下载安装软件；
8、对不熟悉的软件，如已被杀毒软件拦截查杀，不要添加信任继续运行。

最后，针对越发猖獗的勒索病毒威胁，360安全大脑不建议广大企业、个人用户向黑客支付赎金，支付赎金不仅变相鼓励了不法黑客的勒索攻击行为，且解密过程还可能带来新的安全风险。

为多维抵御各类勒索病毒攻击，360安全大脑已采取了多项防治措施。截止2019年11月，在360安全大脑强势赋能下，360解密大师作为全球规模最大、最有效的勒索病毒解密工具，累计支持解密勒索病毒超过320种，服务用户机器超26000台，解密文件近8500万次，挽回损失超5.47亿元。

如有用户不慎中招，可前往lesuobingdu.360.cn确认所中勒索病毒类型，并通过360安全卫士 “功能大全”窗口，搜索安装“360解密大师”，点击“立即扫描”恢复被加密文件。

来源 360安全卫士