近期火绒工程师发现受到勒索攻击的用户数量显著上升，勒索攻击一般指黑客通过运行勒索病毒加密受害者的文件，要求后者支付赎金来恢复文件访问权，此类攻击会对用户的财务和运营造成重大的影响。

经过观察，活跃的勒索家族包括Makop、Mallox、Phobos、TellYouThePass等。勒索攻击多发生在凌晨时段，且首次入侵机器多为服务器。为避免勒索病毒影响您的设备及业务，火绒工程师提醒您及时安装火绒安全终端并参考本文的勒索防护建议做好防范措施。

勒索病毒主要入侵方式

1. RDP远程桌面暴破获取账户密码；

2. 对暴露于网络上的数据库进行暴破；

3. 对业务系统存在的高危漏洞进行利用。

风险简述

1. 数据不可用：重要文件被加密，无法访问可能导致关键业务运作中断；

2. 财务损失：支付赎金给攻击者可能导致直接的财务损失；

3. 信誉伤害：数据泄露和业务中断可能损害公司的声誉；

4. 合规性风险：可能违反数据保护法规，导致法律后果和罚款。

勒索防护建议

策略加固

1. 业务或系统登录使用强密码，确保密码符合长度、多样性、随机性 ；

2. 避免密码复用，系统账户，业务数据库等账户使用的密码不一致；

3. 定期更换密码，建议三个月至少更换一次；

4. 禁用不必要的端口，例如：3389，445，3306，1433等。

容灾方案

1. 定期进行重要数据的备份；

2. 备份保存在非本地。

火绒安全软件策略

结合客户溯源环境，建议在官网的加固建议基础上，进行以下加固：

1. 开启勒索诱捕 ；

2. 勾选禁止终端操作信任区 ；

3. 开启远程登录防护 ；

4. 开启终端动态认证 ；

5. 开启程序执行控制--远程控制工具、风险工具项；

6. 设置定时查杀计划任务，并关注查杀结果，建议一周至少执行一次；

7. 设置密码保护，防止终端被恶意退出、卸载 。

更新策略

1. 业务系统定期确认是否存在漏洞，及时更新到最新版本；

2. 定期执行漏洞修复功能，修复系统高危漏洞；

3. 及时升级安全软件病毒库。

管理员巡检

1. 定期查看系统和业务日志；

2. 定期查看系统环境是否有新增可疑账户；

3. 定期查看火绒日志，如有异常可及时联系火绒客服反馈。

注：建议在一周到三个月内至少执行一次。

规范远程

1. 若非必要建议关闭系统的远程桌面功能；

2. 如需使用远程桌面可根据需求，在系统防火墙或火绒策略中设置白名单。

提高员工安全意识

1. 不从非官网下载软件；

2. 收到的文件先进行查杀再打开；

3. 移动设备使用时遵循先查杀再使用的原则；

4. 离开工位及时锁屏。

应对措施

1. 立即隔离：如果发现勒索软件，立即将受感染的系统从网络中隔离；

2. 不要支付赎金：支付赎金可能会鼓励攻击者继续此类攻击，并且不保证数据恢复；

3. 报告事件：向内部安全团队报告，并考虑报告给相应的执法部门；

4. 恢复备份：在彻底清理系统后，从备份中恢复数据。

附：常见勒索家族介绍

1.Makop勒索家族

该勒索家族目前观察到的主要入侵手段为通过恶意电子邮件附件、下载到被感染的安装程序或漏洞利用。

2.Mallox勒索家族

该勒索家族目前观察到的主要入侵手段为利用易受攻击和公开暴露的服务获取权限，特别关注MSSQL数据库，以及RDP暴破。

3.Phobos勒索家族

该勒索家族目前观察到的主要入侵手段为RDP暴破。

4.TellYouThePass勒索家族

该勒索家族目前观察到的入侵手段为多为对OA等业务系统高危漏洞的利用，常对暴露于网络上，并存在有漏洞的机器发起攻击。