2021年6月勒索病毒态势分析( 五 ) 勒索病毒传播至今

安全规划网络架构，业务、数据、服务分离，不同部门与区域之间通过VLAN和子网分离，减少因为单点沦陷造成大范围的网络受到攻击。内外网隔离，合理设置DMZ区域，对外提供服务的设备要做严格管控。减少企业被外部攻击的暴露面。安全设备部署，在企业终端和网络关键节点部署安全设备，并日常排查设备告警情况。权限控制，包括业务流程权限与人员账户权限都应该做好控制，如控制共享网络权限，原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。数据备份保护，对关键数据和业务系统做备份，如离线备份，异地备份，云备份等，避免因为数据丢失、被加密等造成业务停摆，甚至被迫向攻击者妥协。安全管理账户口令管理，严格执行账户口令安全管理，重点排查弱口令问题，口令长期不更新问题，账户口令共用问题，内置、默认账户问题。补丁与漏洞扫描，了解企业数字资产情况，将补丁管理做为日常安全维护项目，关注补丁发布情况，及时更新系统、应用系统、硬件产品安全补丁。定期执行漏洞扫描，发现设备中存在的安全问题。权限管控，定期检查账户情况，尤其是新增账户。排查账户权限，及时停用非必要权限，对新增账户应有足够警惕，做好登记管理。内网强化，进行内网主机加固，定期排查未正确进行安全设置，未正确安装安全软件设备，关闭设备中的非必要服务，提升内网设备安全性。人员管理人员培训，对员工进行安全教育，培养员工安全意识，如识别钓鱼邮件、钓鱼页面等。行为规范，制定工作行为规范，指导员工如何正常处理数据，发布信息，做好个人安全保障。如避免员工将公司网络部署，服务器设置发布到互联网之中。发现遭受勒索病毒攻击后的处理流程发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播，关闭计算机能及时阻止勒索病毒继续加密文件。联系安全厂商，对内部网络进行排查处理。公司内部所有机器口令均应更换，你无法确定黑客掌握了内部多少机器的口令。遭受勒索病毒攻击后的防护措施联系安全厂商，对内部网络进行排查处理。登录口令要有足够的长度和复杂性，并定期更换登录口令重要资料的共享文件夹应设置访问权限控制，并进行定期备份定期检测系统和软件中的安全漏洞，及时打上补丁。是否有新增账户Guest是否被启用Windows系统日志是否存在异常杀毒软件是否存在异常拦截情况登录口令要有足够的长度和复杂性，并定期更换登录口令重要资料的共享文件夹应设置访问权限控制，并进行定期备份定期检测系统和软件中的安全漏洞，及时打上补丁。不建议支付赎金最后——无论是个人用户还是企业用户，都不建议支付赎金！
【2021年6月勒索病毒态势分析】支付赎金不仅变相鼓励了勒索攻击行为，而且解密的过程还可能会带来新的安全风险。可以尝试通过备份、数据恢复、数据修复等手段挽回部分损失。比如：部分勒索病毒只加密文件头部数据，对于某些类型的文件（如数据库文件），可以尝试通过数据修复手段来修复被加密文件。如果不得不支付赎金的话，可以尝试和黑客协商来降低赎金价格，同时在协商过程中要避免暴露自己真实身份信息和紧急程度，以免黑客漫天要价。若对方窃取了重要数据并以此为要挟进行勒索，则应立即采取补救措施——修补安全漏洞并调整相关业务，尽可能将数据泄露造成的损失降到最低。