一、  勒索病毒背景

自2017年5月WannaCry（永恒之蓝勒索蠕虫）大规模爆发以来，勒索病毒已成为对政企机构和网民直接威胁最大的一类木马病毒。大规模爆发的Globelmposter、GandCrab、Crysis等勒索病毒，攻击者更是将攻击的矛头对准企业服务器，并形成产业化；而且勒索病毒的质量和数量的不断攀升，已经成为政企机构面临的最大的网络威胁之一。

二、  勒索病毒感染案例

据某安全机构监测和评估显示：每天感染用户电脑的勒索病毒有10多种（家族），每天感染量高达10-15万台电脑，其中以漏洞为传播途径的勒索病毒占90%以上。

近期发生的一些勒索病毒感染事件再次对我们敲响了警钟。

案例一：某上市公司

福建某上市公司服务器被勒索病毒Ransom/Bunnyde入侵，导致该企业核心的ERP(财务系统)数据库被加密，向病毒团伙支付了50万人民币赎金后，获得密钥恢复了数据。该病毒是利用垃圾邮件和漏洞等方式传播，工程师调查发现，该企业服务器既没安装补丁程序，又没安装任何安全软件。

案例二：某知名高校

某南方知名高校学生使用个人电脑连接学校网络时，被通过校园网主机系统漏洞进入的勒索病毒感染，包括毕业论文在内的所有文件被加密，该病毒提示需要支付近1万元人民币赎金。该学生支付赎金后，病毒团伙并没有提供任何解密方式。

案例三：某服务提供商

2019年11月9日拥有44万客户的ASP.NET网络托管提供商遭到勒索软件的攻击，这是今年的第三家大型网络托管提供商被勒索病毒网络犯罪团伙攻击，加密了客户服务器上的数据，该公司被勒索病毒攻击之后，客户电话被打爆而不得不中断客户电话热线，该公司网站在11月9日被迫关闭一整天。

三、  勒索病毒的来源

通过对云上用户的调查分析，大部分用户未按照最佳的安全使用方式来使用云服务器资源，主要问题有：

关键账号存在弱口令或无认证机制

服务器关键账号（root、administrator）密码简单或无密码。

数据库（Redis、MongoDB、MySQL、MSsql Server）等重要业务使用弱密码或无密码。

无访问控制策略，业务暴露在互联网上

RDP、SSH、Redis、MongoDB、MySQL、MSsql Server 等高危服务可以通过互联网直接访问。

服务器操作系统和软件存在高危漏洞

恶意攻击者可以利用服务器操作系统和应用服务软件存在的高危漏洞，上传加密勒索软件或执行勒索操作，实现远程攻击。

四、  如何判断是否中了勒索病毒

主机桌面被篡改

主机感染勒索病毒后，最明显的特征是电脑桌面发生明显变化，即：桌面通常会出现新的文本文件或网页文件，这些文件用来说明如何解密的信息，同时桌面上显示勒索提示信息及解密联系方式，通常提示信息英文较多，中文提示信息较少。

下面为感染勒索病毒后，几种典型的桌面发生变化的示意图。

文件后缀被篡改

服务器感染勒索病毒后，另外一个典型特征是：办公文档、照片、视频等文件的图标变为不可打开形式，或者文件后缀名被篡改。一般来说，文件后缀名会被改成勒索病毒家族的名称或其家族代表标志，如：GlobeImposter家族的后缀为.dream、.TRUE、.CHAK等；Satan家族的后缀.satan、sicck；Crysis家族的后缀有.ARROW、.arena等。

下面为电脑感染勒索病毒后，几种典型的文件后缀名被篡改或文件图标篡改的示意图。

五、  移动云安全产品选择

【云主机备份】帮助用户建立完备的备份恢复体系

安全防护的核心是确保核心数据的可用，只有建立完备的备份机制才能确保在遭受攻击时能够全身而退。移动云【云主机备份】、【云硬盘备份】服务可利用多种备份机制和策略周期性的帮助客户进行备份。为应对勒索病毒的发生打好基础。

如希望进一步了解移动云存储服务可以参见如下链接：https://ecloud.10086.cn/op-help-center/show/3。

【态势感知】建立全局威胁情报感知能力

有效的识别和监测是安全防护的关键。移动云【态势感知平台】通过采集系统的网络安全数据信息，帮助用户对所有安全数据进行统一处理分析，实现对网络攻击行为、安全威胁事件、日志、流量等网络安全问题的发现和告警，形成安全可监控、攻击可防护、威胁可感知、事件可控制的安全闭环。

如希望进一步了解移动云态势感知服务可以参见如下链接：https://ecloud.10086.cn/product-introduction/awareness。

【Web漏洞扫描】让Web防护更放心更安心

Web服务会存在各种各样的漏洞，攻击者会利用Web漏洞上传勒索病毒，对用户资产造成破坏。移动云【Web漏洞扫描】可以快速评估网站(群)，帮助用户及时发现网站的风险隐患，指导用户及时修复漏洞。如果用户的Web站点同时配置【Web应用防护】服务，便可以对Web流量进行解码和分析，有效应对SQL注入、XSS注入、CSRF等一系列Web攻击。

如希望进一步了解移动云Web漏扫服务可以参见如下链接https://ecloud.10086.cn/op-help-center/show/1101。

六、  勒索病毒的预防

减少威胁事件的发生，降低勒索病毒感染的概率，我们建议采取以下措施进行预防：

1、周期性的进行数据备份（按天增量、按周/月全量），并做好多副本异地存储（按月/季度）；

2、搭建具有容灾能力的架构，发生问题可以切换至备份系统保障系统连续性；

3、建立代码安全审查机制，开发流程中执行黑盒白盒测试，减少代码漏洞；

4、分隔网络区域，云主机之间通过设置安全组或者防火墙禁用非必要和不安全的流量；

5、周期性检查并更新云主机操作系统的补丁以及应用软件的补丁；

6、对云主机进行安全加固，关闭135、137、138、139、445以及不必要的服务端口。主机上运行服务的默认端口号更改至非周知端口；

7、云主机上安装专业杀毒软件并将病毒库更新至最新；

8、云主机禁用多余账号并且账号使用强度高且更为复杂的口令；

9、云主机禁止使用root或者administrator直接登录系统；

10、定期对系统进行漏洞扫描和渗透测试，及时发现问题并进行解决。

七、  应急处置措施

一旦遭受了勒索病毒的感染，我们需要采取一系列的手段将影响和威胁降低至最低，遭遇勒索病毒感染后最直接的办法就是把中毒的机器进行断网隔离，然后等待专业的安全服务人员上门进行处理，下面列举了一套勒索病毒应急处置方法：

1、断网或关机处理，防止勒索病毒内网传播感染，造成更大的损失；

2、恢复业务：断网后，可通过备份恢复业务；

3、排查业务系统：在已经隔离被感染主机后，应对其他主机进行排查，检查核心业务系统是否受到影响，并检查备份系统是否被加密等，以确定感染的范围；

4、修改未感染主机的密码并及时更新补丁，防止进一步破坏；

5、在感染主机上找到病毒样本以及加密后的文件，将数据上传至一些“勒索病毒搜索引擎”进行分析，进而找到相应的工具进行解密。使用解密工具之前，务必备份加密文件，防止解密不成功导致破坏；

6、通过溯源分析确认勒索病毒入侵方式，封堵相关的安全漏洞；

7、当文件无法解密，且被加密的文件价值不大时，也可以重装系统。但是，这意味着文件再也无法被恢复；

8、做好相应的安全防护工作，更新系统补丁，并安装杀毒软件并更新病毒库至最新版本，以防再次感染。

八、云主机感染病毒后的解决方法

当云主机感染木马病毒后，可能会导致数据丢失，存在业务风险。本文主要介绍云主机感染病毒的解决方法和提高云主机安全性的方法。

详情内容

1. 修改云主机实例的密码，详情请参见密码重置或修改失败。
5. 说明
7. 建议密码长度不小于8位，并且使用大写字母、小写字母、数字、特殊字符组合。

1. 检查安全组规则，查看是否有开放未授权的端口，是否存在不合理或存在安全隐患的安全规则，详情请参照安全组配置案例。
2. 对云主机进行安全加固，如修改远程登录端口、禁止root用户登录、合理设置安全组防火墙，请参考云主机OS加固。
3. 定期对云主机、云硬盘备份，对于重要数据建议进行本地备份，详情请参考创建云主机备份。
7. 说明
9. 关键时刻可通过恢复云主机。

1. 安装查杀病毒防木马软件，对服务器进行全盘病毒扫描和查杀。
5. 说明

• 建议使用云安全中心服务。
• Windows云主机安装基础病毒防护软件。

若云主机没有设置安全防护，可能会带来许多不良的影响。修复云主机感染病毒之后，可以结合实际情况，对云主机进行病毒防御，加强云主机的安全抵御能力。更详细建议请参考：移动云客户虚机安全防护指引.pdf