域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過

根據(jù)“火絨威脅情報(bào)系統(tǒng)”監(jiān)測(cè)，近期出現(xiàn)多起勒索病毒加密文件后綴名為“shanghai3”和“beijing”事件，極具地域性和本土特色，請(qǐng)廣大用戶小心。

需要注意的是，此前同一個(gè)勒索病毒加密文件后綴名具有固定格式，作為和其它勒索病毒區(qū)分特征之一。比如勒索病毒Globelmposter加密文件的后綴名通常為某希臘主神名或動(dòng)物名+數(shù)字（“Zeus666”或“Pig4444”等）。

而此次火絨監(jiān)測(cè)到的兩個(gè)同為地名的勒索病毒加密后綴名，雖然格式極為相似，但卻分屬兩個(gè)不同的病毒所為。

這一現(xiàn)象側(cè)面反映了，勒索病毒在活躍的同時(shí)，也在時(shí)刻變化著。而根據(jù)“火絨威脅情報(bào)系統(tǒng)”的監(jiān)測(cè)以及在服務(wù)用戶問題中發(fā)現(xiàn)，勒索病毒的攻擊渠道、攻擊方式等也在增加和改變，導(dǎo)致用戶面臨的安全風(fēng)險(xiǎn)進(jìn)一步增加。因此，對(duì)于勒索病毒的認(rèn)知和對(duì)抗，重點(diǎn)依舊在于提前防護(hù)和及時(shí)響應(yīng)。

在此，我們根據(jù)“火絨威脅情報(bào)系統(tǒng)”的監(jiān)測(cè)和統(tǒng)計(jì)，選出幾個(gè)典型的場(chǎng)景加以說明，并提供相對(duì)應(yīng)的有效預(yù)防方式，幫助用戶避免風(fēng)險(xiǎn)。

一、漏洞利用或逐漸增加

在以往，勒索病毒運(yùn)營(yíng)商遠(yuǎn)程主動(dòng) 向用戶發(fā)起攻擊的方式有兩個(gè)：1、直接通過弱口令暴力破解進(jìn)入用戶系統(tǒng)；2、通過黑市購買遠(yuǎn)程登錄憑證進(jìn)行入侵。

而在近期，火絨“威脅情報(bào)系統(tǒng)”監(jiān)測(cè)到有漏洞攻擊在大面積、高頻次的爆發(fā)（詳見報(bào)告《注意！近期漏洞攻擊頻次均值上漲282%》）。值得警惕的是，我們?cè)诒贿@次漏洞攻擊影響的用戶現(xiàn)場(chǎng)發(fā)現(xiàn)了勒索病毒。

要知道，此前WannaCry勒索病毒席卷全球，正是利用“永恒之藍(lán)”漏洞大面積傳播。而上述火絨監(jiān)測(cè)到的漏洞攻擊除了通過“永恒之藍(lán)”外，還有CVE-2020-0796和CVE-2019-0708等多種漏洞。

上述現(xiàn)象或許表明，勒索病毒已經(jīng)具備了可以穩(wěn)定使用漏洞主動(dòng)發(fā)起范圍性攻擊的可能。這對(duì)于用戶而言，特別是IP暴露在外網(wǎng)，又不方便脫產(chǎn)打補(bǔ)丁的企業(yè)用戶，無疑又增加了被勒索的風(fēng)險(xiǎn)。

預(yù)防響應(yīng)：

1、及時(shí)打補(bǔ)丁。

2、對(duì)于不便打補(bǔ)丁的用戶，可開啟火絨【網(wǎng)絡(luò)入侵?jǐn)r截】功能（企業(yè)產(chǎn)品為【黑客入侵?jǐn)r截】），對(duì)服務(wù)器提供"虛擬補(bǔ)丁"進(jìn)行防御，降低因暫時(shí)無法安裝補(bǔ)丁帶來的風(fēng)險(xiǎn)。

二、借助黑客工具精準(zhǔn)勒索

通過“火絨威脅情報(bào)系統(tǒng)”發(fā)現(xiàn)，在不少企業(yè)終端上，存在被入侵并留下黑客滲透工具的現(xiàn)象。

這些黑客工具原本屬于正常程序（如PowerShell、PsExec等），但會(huì)被黑客用來尋找企業(yè)終端中的關(guān)鍵服務(wù)器，從而在后續(xù)的入侵中，幫助勒索病毒對(duì)重要的信息數(shù)據(jù)進(jìn)行精準(zhǔn)的加密，更“順利”的勒索贖金。

實(shí)際上，在目前發(fā)生的安全事件中，有30%都與正常工具遭黑客利用有關(guān)。這種入侵模式，已然成為一條完整的勒索病毒攻擊產(chǎn)業(yè)鏈：通過黑客工具，尋找合適服務(wù)器，然后將信息提供給勒索病毒作者，最后合作完成勒索任務(wù)。這種精準(zhǔn)有預(yù)謀的勒索形式，對(duì)企業(yè)的危害也將是巨大的。

預(yù)防響應(yīng)：

1、增加口令強(qiáng)度。

2、企業(yè)用戶安裝火絨企業(yè)版并定期掃描（火絨對(duì)黑客工具會(huì)做報(bào)毒處理），發(fā)現(xiàn)黑客工具可及時(shí)聯(lián)系火絨，獲取專業(yè)的、有針對(duì)性的安全加固。

3、 個(gè)人用戶可開啟【訪問控制】-【程序執(zhí)行控制】中，開啟【風(fēng)險(xiǎn)工具】功能，阻止黑客工具運(yùn)行。

三、利用“關(guān)聯(lián)單位” 作為攻擊跳板

在不同企業(yè)之間，因?yàn)闃I(yè)務(wù)需求和聯(lián)系而建立互相訪問的網(wǎng)絡(luò)，或者職能相近的政企單位共用一個(gè)網(wǎng)絡(luò)，已經(jīng)是常見的網(wǎng)絡(luò)管理現(xiàn)象。

這種網(wǎng)絡(luò)共享的方式在一定程度上方便了企業(yè)之間的辦公，但也同時(shí)也讓企業(yè)面臨更多的安全風(fēng)險(xiǎn)。因?yàn)楣蚕砭W(wǎng)絡(luò)就像一個(gè)安全防護(hù)缺口，黑客可以在入侵網(wǎng)絡(luò)內(nèi)任何一家企業(yè)后，以之為跳板，攻擊其它的企業(yè)。一旦被攻擊的其它企業(yè)未做防護(hù)，將面臨各類安全風(fēng)險(xiǎn)。

在火絨幫助企業(yè)用戶現(xiàn)場(chǎng)查看問題時(shí)，經(jīng)常在火絨中心日志上發(fā)現(xiàn)攔截大量來源于不同企業(yè)、單位甚至相鄰部門的攻擊信息。

防御響應(yīng)：

1、對(duì)于同一網(wǎng)絡(luò)環(huán)境下的其它企業(yè)或部門，在無業(yè)務(wù)需求的情況下，進(jìn)行網(wǎng)絡(luò)隔離。

2、企業(yè)或單位統(tǒng)一部署終端安全軟件，并在安全工程師指導(dǎo)下開啟相關(guān)防護(hù)功能。

安全總結(jié)：

勒索病毒對(duì)用戶的傷害在于加密文件索要贖金的行為，在安全響應(yīng)策略中，提前防御、攔截的重要程度要更高于中毒后的查殺掃描。

無論是企業(yè)還是個(gè)人用戶，都應(yīng)該做好終端與服務(wù)器的安全防護(hù)，加固易被攻破入侵的安全缺口。更重要的是，在做好防御策略后，還要堅(jiān)持不斷地執(zhí)行，謹(jǐn)防出現(xiàn)因業(yè)務(wù)需求關(guān)閉防護(hù)措施造成的風(fēng)險(xiǎn)缺口。

"火絨企業(yè)版"自2018年初面市以來，已有上萬家政府、企業(yè)單位部署試用。該產(chǎn)品易于安裝，操作簡(jiǎn)單，運(yùn)行穩(wěn)定，未發(fā)生過一起嚴(yán)重產(chǎn)品故障，充分滿足各單位網(wǎng)絡(luò)安全需求。任何政企單位都可以通過火絨官網(wǎng)申請(qǐng)，免費(fèi)試用"火絨企業(yè)版"3個(gè)月。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！