國內勒索病毒持續高發 如何有效防範？

來自專欄火絨安全實驗室23 人贊了文章

前言：自去年5月份Wannacry勒索病毒爆發後，國內勒索病毒就一直呈現高髮狀態，主要通過漏洞在XP、Win7等老舊系統中大肆傳播，導致使用這些系統的政府、企業、學校、醫院等區域網機構成為病毒攻擊重災區，而win10用戶幾乎不受此影響。除了漏洞，郵件與廣告推廣是病毒傳播的另外兩大方式。目前，被勒索病毒加密的文件依舊無法破解，避免造成損失的最好辦法就是提前防禦。

根據"火絨威脅情報系統"監測和和評估，從今年初到9月中旬，勒索病毒總計對超過200萬台終端發起過攻擊，攻擊次數高達1700萬餘次，且整體呈上升趨勢。勒索病毒主要通過三種途徑傳播：漏洞、郵件和廣告推廣。

其中，通過漏洞發起的攻擊占攻擊總數的87.7%。由於win7、xp等老舊系統存在大量無法及時修復的漏洞，而政府、企業、學校、醫院等區域網機構用戶使用較多的恰恰是win7、xp等老舊系統，因此也成為病毒攻擊的重災區，病毒可以通過漏洞在區域網中無限傳播。相反，win10系統因為強制更新，幾乎不受漏洞攻擊的影響。

通過郵件與廣告推廣的攻擊分別為7.4%、3.9%。雖然這兩類傳播方式佔比較少，但對於有收發郵件、網頁瀏覽需求的企業而言，依舊會受到威脅。

此外，對於某些特別依賴U盤、記錄儀辦公的區域網機構用戶（如公檢法）來說，外設則成為勒索病毒攻擊的特殊途徑。

火絨收到勒索病毒求助的用戶，幾乎均為政府、企業機構：

武漢某企業試用" 火絨終端安全管理系統"（以下簡稱"火絨企業版"）期間，發現系統中既有通過郵件傳播的勒索病毒GlobeImposter，還存在通過漏洞在區域網傳播的"Wannacry"勒索病毒，堪稱企業網路染毒的典型案例。

北京某公安部門通過"火絨企業版"全網掃描後，發現網路中存在大量勒索病毒，並且通過執法記錄儀等外設源源不斷傳進，並通過共享文件夾在內網中交叉感染。

火絨工程師表示，一旦電腦數據被勒索病毒加密，幾乎沒有任何辦法來破解，用戶要麼放棄這些資料，要麼支付贖金來獲得解密鑰匙。而且，有些病毒團伙"不講信用"，拿到贖金並不提供密鑰，還有"Petya"這樣的反社會型勒索病毒，只為破壞不為掙錢，其贖金支付流程根本走不通。

對此，應對勒索病毒最有效的辦法就是做到提前預防：

針對漏洞，要麼打補丁修復漏洞，要麼使用具備"漏洞攻擊攔截"功能的安全軟體，確保漏洞不被利用，勒索病毒感染量將會下降85%；

針對郵件，不要輕易點擊陌生郵件，尤其是打開或者運行其中的附件，如果必須要查看，可先對其進行病毒查殺；

針對廣告推廣，做到不點擊不明鏈接、廣告，並對彈窗廣告進行屏蔽、阻攔；

針對U盤等外設，可使用具備"U盤保護"功能的安全軟體加以防禦，或者直接禁用外設。

對於受勒索病毒威脅較大的政府、企業、學校、醫院等機構用戶，"火絨企業版"提供3個月免費試用，部署並正確使用火絨產品，能將勒索病毒的威脅降低95%以上，火絨針對勒索病毒的多層次防禦功能如下：

1、擁有漏洞雙重保護功能（"漏洞攻擊攔截"與"漏洞修復"），可幫助修復漏洞、阻止漏洞攻擊，並查詢漏洞攻擊源。

2、此外，可使用"郵件監控"對企業收發郵件及附件做及時安全檢查，避免中招。

3、"彈窗攔截"功能可阻擋各類垃圾廣告，保障電腦幹凈、安全運行。

4、"U盤保護"和"設備控制"的功能，對U盤、執法記錄儀等外設實現雙重防護，可阻斷勒索病毒通過外設傳播的途徑。

今年4月份火絨上線"漏洞攻擊攔截"功能，阻止了Wannacry病毒的攻擊，4月中旬後的感染量迅速下降，安裝"火絨安全軟體"的電腦也不再被Wannacry感染。

同時，火絨近期上線的"在線支持和響應中心"系統，可幫助所有"火絨企業版"機構用戶及時排查、解決勒索病毒相關問題。該服務系統實現"網上求助-任務分配-直接服務"運行模式，確保"30分鐘響應"，提供專業工程師解決問題，並"全程記錄、全程跟蹤"。