勒索病毒自救手册之【安全加固篇】

三、安全加固篇

​ 面对严峻的勒索病毒威胁态势,我们分别为个人用户和企业用户给出有针对性的安全建议。希望能够帮助尽可能多的用户全方位的保护计算机安全,免受勒索病毒感染。

一、 针对个人用户的安全建议

对于普通用户,我们给出以下建议,以帮助用户免遭勒索病毒攻击。

(一) 养成良好的安全习惯

  1. 电脑应当安装具有高级威胁防护能力和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易采取放行操作。
  2. 可使用安全软件的漏洞修复功能,第一时间为操作系统和浏览器,常用软件打好补丁,以免病毒利用漏洞入侵电脑。
  3. 尽量使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。
  4. 重要文档、数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
  5. 电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。

(二) 减少危险的上网操作

  1. 不要浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。
  2. 不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js 、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。
  3. 电脑连接移动存储设备(如U盘、移动硬盘等),应首先使用安全软件检测其安全性。
  4. 对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。

(三) 采取及时的补救措施

  1. 安装360安全卫士并开启反勒索服务,一旦电脑被勒索软件感染,可以通过360反勒索服务寻求帮助,以尽可能的减小自身损失。

二、 针对企业用户的安全建议

(一) 企业安全规划建议

对企业信息系统的保护,是一项系统化工程,在企业信息化建设初期就应该加以考虑,建设过程中严格落实,防御勒索病毒也并非难事。对企业网络的安全建设,我们给出下面几方面的建议。

  1. 安全规划

  2. 网络架构,业务、数据、服务分离,不同部门与区域之间通过VLAN和子网分离,减少因为单点沦陷造成大范围的网络受到攻击。

  3. 内外网隔离,合理设置DMZ区域,对外提供服务的设备要做严格管控。减少企业被外部攻击的暴露面。
  4. 安全设备部署,在企业终端和网络关键节点部署安全设备,并日常排查设备告警情况。
  5. 权限控制,包括业务流程权限与人员账户权限都应该做好控制,如控制共享网络权限,原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。
  6. 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等,避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。

  7. 敏感数据隔离,对敏感业务及其相关数据做好网络隔离,如有必要甚至建议做好设备之间的物理隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。

  8. 安全管理

  9. 账户口令管理,严格执行账户口令安全管理,重点排查弱口令问题,口令长期不更新问题,账户口令共用问题,内置、默认账户问题。

  10. 补丁与漏洞扫描,了解企业数字资产情况,将补丁管理作为日常安全维护项目,关注补丁发布情况,及时更新系统、应用系统、硬件产品安全补丁。定期执行漏洞扫描,发现设备中存在的安全问题。
  11. 权限管控,定期检查账户情况,尤其是新增账户。排查账户权限,及时停用非必要权限,对新增账户应有足够警惕,做好登记管理。

  12. 内网强化,进行内网主机加固,定期排查未正确进行安全设置,未正确安装安全软件设备,关闭设备中的非必要服务,提升内网设备安全性。

  13. 人员管理

  14. 人员培训,对员工进行安全教育,培养员工安全意识,如识别钓鱼邮件、钓鱼页面等。

  15. 行为规范,制定工作行为规范,指导员工如何正常处理数据,发布信息,做好个人安全保障。如避免员工将公司网络部署,服务器设置发布到互联网之中。

(二) 发现遭受勒索病毒攻击后的处理流程

  1. 发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件。
  2. 联系安全厂商,对内部网络进行排查处理。
  3. 公司内部所有机器口令均应更换,你无法确定黑客掌握了内部多少机器的口令。

(三) 遭受勒索病毒攻击后的防护措施

  1. 比照“企业安全规划建议”中的事项,对未尽事项目进行及时更正或加强。
  2. 检测系统和软件中的安全漏洞,及时打上补丁。
  3. 是否有新增账户
  4. Guest是否被启用
  5. Windows系统日志是否存在异常
  6. 杀毒软件是否存在异常拦截情况
  7. 检查登录口令要有足够的长度和复杂性,并更新安全度不足或疑似已经泄露的登录口令。
  8. 对尚未被加密的重要文件进行及时备份,避免依然存在活跃的勒索病毒对重要数据进行新一轮加密。
  9. 加强对敏感数据的隔离,如可行,尽可能完全断开敏感数据与外界的一切连接。避免具有多重勒索功能的病毒进一步获取更多的重要信息作为勒索筹码。

三、不建议支付赎金

​ 最后——无论是个人用户还是企业用户,都不建议支付赎金!

支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。可以尝试通过备份、数据恢复、数据修复等手段挽回部分损失。比如:部分勒索病毒只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来修复被加密文件。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。

返回案例列表 立即咨询类似问题

联系我们

电话 (7×24小时)
15219465664
15338790081
座机 (工作日)
0755-26408688
微信公众号

微信公众号

企业微信咨询

企业微信咨询