勒索軟件

勒索軟件又稱勒索病毒，是一種特殊的惡意軟件，又被歸類為“阻斷訪問式攻擊”（denial-of-access attack），與其他病毒最大的不同在于攻擊手法以及中毒方式。勒索軟件的攻擊方式是將受害者的電腦鎖起來或者系統性地加密受害者硬盤上的文件，以此來達到勒索的目的。勒索軟件一般通過木馬病毒的形式傳播。

勒索軟件的類型根據勒索軟件對受害者系統采取的措施，主要可以分為以下幾類：

綁架用戶數據：使用加密算法（如AES、RSA等）將用戶的文件進行加密，用戶在沒有秘鑰的情況下無法操作自己的文件。用戶可以訪問設備，但是對設備內的數據無法操作。典型勒索軟件有：WannaCry、GlobeImposter、CryptoLocker，TeslaCrypt等

鎖定用戶設備：不加密用戶的文件，但是通過修改一些配置或者系統文件，使得用戶無法進入設備。典型勒索軟件有：NotPetya等

鎖定用戶設備和綁架數據：既加密用戶文件，又鎖住用戶設備。典型勒索軟件有：BadRabbit等

勒索軟件的入侵方式

如何防御勒索軟件

1、主機側防護：推薦通過組織級的IT基礎設施方案來統一設置主機并針對員工進行信息安全教育。主要的主機側防護措施包括但不限于：

開啟系統防火墻，利用防火墻阻止特定端口的連接，或者禁用特定端口

升級最新的殺毒軟件，或者部署專殺工具

更新補丁，修復勒索軟件所利用的含漏洞軟件

各項登錄、鑒權操作的用戶名、密碼復雜度要符合要求

設置帳戶鎖定策略

阻止宏自動運行，謹慎啟用宏

僅從指定位置下載軟件

不要打開來源不明郵件的附件和鏈接

定期做好異地備份

在Windows文件夾中設置顯示“文件擴展名”，可以更輕易地發現潛在的惡意文件

2、網絡側防護：設置以防火墻為基礎的多層安全防御體系，避免攻擊者突破一層防御之后長驅直入。針對勒索軟件在網絡側的防護，華為通過如下分層防御體系進行防護：

通過在防護墻上部署嚴格的安全策略，限制用戶對網絡和應用的使用

通過IPS、AV、URL，發現和阻斷已知威脅

通過沙箱聯動，發現未知威脅

通過HiSecInsight、誘捕，避免橫向擴散

部署日志審計系統，用于調查取證和攻擊溯源

如何處置勒索軟件

常見的勒索軟件處置建議，相關措施包括但不局限于：隔離被勒索的設備、清除勒索軟件、解密、調查取證、重裝系統等。

編輯：jq