勒索軟件(jiàn)防範指南(nán)

勒索軟件(jiàn)是(shì)黑(hēi)客用(yòng)來(l₩×ái)劫持用(yòng)戶資産或資源實施勒索的(de)一(yī)種惡意✘ ✔程序。黑(hēi)客利用(yòng)勒索軟件(jiàφφn)，通(tōng)過加密用(yòng)戶數(≥→shù)據、更改配置等方式，使用(yòng)戶資産或資源無法正常使用(yòng)λ<£ ，并以此為(wèi)條件(jiàn)要(yà↑≈§±o)求用(yòng)戶支付費(fèi)用(yòng)以獲得(de)解密密碼或者恢複系統正常運₩¶行(xíng)。主要(yào)的(de)勒索形式包括文(wén)件(jià♠≥≥n)加密勒索、鎖屏勒索、系統鎖定勒索和(hé<$>)數(shù)據洩漏勒索等。主要(yào)的(de)傳播方式δ§'₩包括釣魚郵件(jiàn)傳播、網頁挂馬傳播、↔Ω漏洞傳播、遠(yuǎn)程登錄入侵傳播、供應©ε€鏈傳播和(hé)移動介質傳播等。

國(guó)家(jiā)互聯網應急中心（CNCERT）近(jìn)期發布的(de)《2020γπ年(nián)我國(guó)互聯網網絡安↕↔全态勢綜述》顯示，2020年(nián)勒索軟件(jià€&©←n)持續活躍，全年(nián)捕獲勒索軟件(jiàn)α$✘©78.1萬餘個(gè)，較2019年(nián)同比增長(cháng)6.8%。2021年(ni₽γ¥án)上(shàng)半年(nián)，勒索軟件(jiàn)攻擊愈發頻(pín)繁，發生(s∞'♣hēng)多(duō)起重大(dà)事(shì)件(ji εàn)，例如(rú)3月(yuè)20日(rì)，台‍≤>灣計(jì)算(suàn)機(jī)制(zhì)造商宏©✔碁（Acer）遭REvil勒索軟件(jiàn)攻擊，被要(y'★ào)求支付5000萬美(měi)元贖金($★λjīn)；5月(yuè)7日(rì)，美(měi)國(guó)輸油管道(dào)公司Coloπ₩nial Pipeline遭Darkside勒索軟件(jiàn)攻擊，導緻東×™(dōng)海(hǎi)岸液體(tǐ)燃料停止運營；5月(yuè)26日(rì)←$，國(guó)內(nèi)某大(dà)型地(dì)産公司遭REviλ$l勒索軟件(jiàn)攻擊，竊取并加密了(le)約3TB的(d≈•​↑e)數(shù)據；5月(yuè)31日(rì)，全球最大(dà)的(de)肉類供應商←©↔‍JBS遭REvil勒索軟件(jiàn)攻擊，導緻澳大(dà)利亞所有(yǒu)JBS肉類工(gō♠δ>ng)廠(chǎng)停産。

一(yī)、勒索軟件(jiàn)防範九要(yào)、四♥σε‍不(bù)要(yào)
防範勒索軟件(jiàn)要(yào)做(zuò)到(dào)以下(xià)
“九要(yào)”

1、要(yào)做(zuò)好(hǎo)資産梳理∑★✘(lǐ)與分(fēn)級分(fēn)類管理(lǐ)。清點和(hé)梳理(lǐ)組織內(nèi)的(de)信息系統和(hé)應用(γσβ≤yòng)程序，建立完整的(de)資産清單；梳理(lǐ♣λ≥)通(tōng)信數(shù)據在不(bù)同信息系統或設備¶€間(jiān)的(de)流動方向，摸清攻擊者橫向移動​☆★σ可(kě)能(néng)路(lù)徑；識别內(nèi)部系統© ®與外(wài)部第三方系統間(jiān)的(de)連接關系，↓£尤其是(shì)與合作(zuò)夥伴共享ε&控制(zhì)的(de)區(qū)域，降低(dī)勒索軟件( ♠$♦jiàn)從(cóng)第三方系統進入的<< (de)風(fēng)險；對(duì)信息系統、數(shù)據進行(xíng)分(fēn)級分(δ ♠↓fēn)類，識别關鍵業(yè)務和(hé)關鍵系統，識别關♦×​®鍵業(yè)務和(hé)關鍵系統間(jiān)的(de)依賴關系，确定應急響應→••的(de)優先級。

2、要(yào)備份重要(yào)數(shù)據和(hé)系統。重要(yào)的(de)文(wén)件(jiàn)、數(shù)據和(hé)業(yè∑§π)務系統要(yào)定期進行(xíng)備份，并采取隔離(lí)措施，嚴格限制★♠(zhì)對(duì)備份設備和(hé)備份數(shù)據的(de)訪問(wèn)權限，防止勒‍$≥φ索軟件(jiàn)橫移對(duì)備份數(shù)據進行←φ(xíng)加密。

3、要(yào)設置複雜(zá)密碼并保密。使用(yòng)高(gāo)強度且無規律的(de)登錄密碼，要(yào)求包括數(λ∞shù)字、大(dà)小(xiǎo)寫字母、≥€α符号，且長(cháng)度至少(shǎo)為(wèi)8位的(de)密碼，并經常更換密碼γ±‍★；對(duì)于同一(yī)局域網內(nèi)的(de)設備杜♠∏☆γ絕使用(yòng)同一(yī)密碼，杜絕密碼與設備信息（例如©•(rú)IP、設備名）具有(yǒu)強關聯性。

4、要(yào)定期安全風(fēng)險評估。定期開(kāi)展風(fēng)險評估與滲透測試，識别并記錄資産脆弱性，确定信息系統攻擊₽∏面，及時(shí)修複系統存在的(de)安全漏洞。

5、要(yào)常殺毒、關端口。安裝殺毒軟件(jiàn)并定期更新病毒庫，定期全盤殺毒；關閉不(bù)必要(yào)的(d§εe)服務和(hé)端口，包括不(bù)必要(yào)的(de)遠(yuǎn'≠∑ )程訪問(wèn)服務（3389端口、22端口≥✔），以及不(bù)必要(yào)的(de)135、13★₽↓ 9、445等局域網共享端口等。

6、要(yào)做(zuò)好(hǎo)身(shēn)份驗證和(hé)權限管理(lǐ)。加強訪問(wèn)憑證頒發、管理(lǐ)、驗證、撤銷和(hé)α₹審計(jì)，防止勒索軟件(jiàn)非法獲取和β&(hé)使用(yòng)訪問(wèn)憑證，建議(yì)≠↓使用(yòng)雙因子(zǐ)身(shēn)份認證；細化(huà)權限管理ε←(lǐ)，遵守最小(xiǎo)特權原則和(hé)職≤×責分(fēn)離(lí)原則，合理(lǐ)配置訪問♣&(wèn)權限和(hé)授權，盡量使用(yòng)标準用(yòng)戶而非管理$✔(lǐ)員(yuán)權限用(yòng)戶。

7、要(yào)嚴格訪問(wèn)控制(©$✔↓zhì)策略。加強網絡隔離(lí)，使用(yòng)網絡分∑"(fēn)段、網絡劃分(fēn)等技(jì)術(shù)實現(xiàn)不(bù)同♣Ω∏信息設備間(jiān)的(de)網絡隔離(lí)，禁止或限制(zhì)網絡內(nèi)機(j&•ī)器(qì)之間(jiān)不(bù)必要(yào)的(±γde)訪問(wèn)通(tōng)道(dào)；嚴格遠(y  ↕γuǎn)程訪問(wèn)管理(lǐ)，限制(φ∏‍$zhì)對(duì)重要(yào)數(shù)據或系統的(deα∏λ)訪問(wèn)，如(rú)無必要(yào)關閉所有(yǒu)遠(yu↓×↕→ǎn)程管理(lǐ)端口，若必須開(kāi)放(±δfàng)遠(yuǎn)程管理(lǐ)端口，使用(yòng)白(bái)名單策略結合防α™火(huǒ)牆、身(shēn)份驗證、行(xíng)為(wèi)審計(jì)等訪問(w£♦'èn)控制(zhì)技(jì)術(shù)細化(huà)訪問(w₩÷≠£èn)授權範圍，定期梳理(lǐ)訪問(wèn)控制(zhì)策略。

8、要(yào)提高(gāo)人(rén)員(yuán)安全意識。為(wèi)組織內(nèi)人(rén)員(yuán)和(hé)合作(zuò)夥 ≥∏伴提供網絡安全意識教育;教育開(kāi)發人(rén)員(yuáλ λn)開(kāi)發和(hé)測試環境要(yào)與生(s•©®hēng)産環境分(fēn)開(kāi)，防止勒索軟件$₩§÷(jiàn)從(cóng)開(kāi)發和(hé)測試系統傳播到(d>¥→•ào)生(shēng)産系統。

9、要(yào)制(zhì)定應急響應預案。針對(duì)重要(yào)信息系統，制(zhì)定勒索軟件(jiàn'λ)應急響應預案，明(míng)确應急人(rén)員(yuán)與職責，制(zh∑  ì)定信息系統應急和(hé)恢複方案，并定期開(k‌€≥βāi)展演練；制(zhì)定事(shì)件(★$↔jiàn)響應流程，必要(yào)時(shí)請•♥ε(qǐng)專業(yè)安全公司協助，分(fēn)析清楚攻擊入侵途徑，α¶并及時(shí)加固堵塞漏洞。

防範勒索軟件(jiàn)要(yào)做(zuò)到(dào)以下(xià)
“四不(bù)要(yào)”

1、不(bù)要(yào)點擊來(lái)源不(bù)明(míβ→ ng)郵件(jiàn)。勒索軟件(jiàn)攻擊者常常利用(yòng)受害者關注的(de)熱(∞&δrè)點問(wèn)題發送釣魚郵件(jiàn)，φ™♣甚至還(hái)會(huì)利用(yòng)攻♦β✔¥陷的(de)受害者單位組織或熟人(rén)郵箱發送釣魚郵件(jiàn)，不(bù)要(yào)點擊♥®此類郵件(jiàn)正文(wén)中的(‍Ωde)鏈接或附件(jiàn)內(nèi)容。 ↑如(rú)果收到(dào)了(le)單位組織內(nèi)或熟人(rén)的(de)可(kě)疑σ©✔≤郵件(jiàn)，可(kě)直接撥打電(diàn)話(huà)®™β>向其核實。

2、不(bù)要(yào)打開(kāi)來(lái)源不(bù)可(kě)靠網站(zhàn)。 ← 不(bù)浏覽色情、賭博等不(bù)良信息網站(z£<hàn)，此類網站(zhàn)經常被勒索軟件(jiàn)攻擊者發起挂馬、釣魚等攻↑©σ₹擊。

3、不(bù)要(yào)安裝來(lái)源不(bù)明(míng)軟件(jiànβ☆★☆)。不(bù)要(yào)從(cóng)不(bù)©÷明(míng)網站(zhàn)下(xià)載安裝軟件(jià φn)，不(bù)要(yào)安裝陌生(shēng)人(ré↕®δ<n)發送的(de)軟件(jiàn)，警惕勒索軟件(jiΩ♥​✘àn)僞裝為(wèi)正常軟件(jiàn)的(de)更新升級。

4、不(bù)要(yào)插拔來(lái)曆不(ε↕♦bù)明(míng)的(de)存儲介質。不(bù)要(yào)随意将來(lái)曆不(bù)明(míng&™)的(de)U盤、移動硬盤、閃存卡等移動存儲設備插入機(jī)器(qì♠®∏©)。

二、勒索軟件(jiàn)應急處置方法
當機(jī)器(qì)感染勒索軟件(jiàn)後φ¥α₽，不(bù)要(yào)驚慌，可(kě)立即開(kāi)展以下(xià)應急工(g€×<ōng)作(zuò)，降低(dī)勒索軟件(jiàn)産生(shēng)的(de)危害。

1、隔離(lí)網絡。采用(yòng)拔掉網線或者禁用(yòng)網絡等方式切斷受感染機(jī)器(×♥qì)的(de)網絡連接，避免網絡內(nèi)其他(tā)機(jī)器(ε£qì)被進一(yī)步感染滲透。

2、分(fēn)類處置。當發現(xiàn)機(jī)器(qì)上(shàng)重要(yào)文(wéσ¶n)件(jiàn)尚未被加密時(shí)，應立☆↔π™即終止勒索軟件(jiàn)進程或者關閉機(j©¶ī)器(qì)，及時(shí)止損；當發現(xiàn)機(jī)器(qì)上(shàng£♥¥♦)重要(yào)文(wén)件(jiàn)已被全部加密時(shí)，可(kě)保持機(jī)器(§•qì)開(kāi)機(jī)原狀态，等待專業(yè)處置。

3、及時(shí)報(bào)告。及時(shí)報(bào)告網絡管理(lǐ)員(yuán)，通(tō<εng)知(zhī)其他(tā)可(kě)能(néng)會(huì)受到(dào)勒索軟件(jià​♣ n)影(yǐng)響的(de)人(rén​→σ₽)員(yuán)。造成重大(dà)影(yǐng)響時(shí)，及時(shí)向網絡安γΩ全主管部門(mén)報(bào)告。

4、排查加固。立即視(shì)情況切斷網絡內(nèi)機(jī)器(qλ♥ì)間(jiān)不(bù)必要(yào)的(de)網絡連接，修改網絡內(nèi)機(j✘✔ī)器(qì)的(de)弱口令密碼。全面排查勒索軟件(jiàn)↑‍植入途徑，并及時(shí)堵塞漏洞。盡快(kuàλ↑i)對(duì)網絡內(nèi)機(jī)∑φ器(qì)進行(xíng)全面漏洞掃描與安全加固λ✔®¥。

5、專業(yè)恢複。請(qǐng)專業(yè)公司和(hé)人(rén₽$¥<)員(yuán)進行(xíng)數(shù)據和( λ™≈hé)系統恢複工(gōng)作(zuò)。