什么是勒索病毒？那么应该怎么防勒索病毒

2023年遭受勒索软件攻击的受害者行业分析显示，科研技服、贸易零售（批发零售）、制造业位居受影响最为严重的前三类行业。这三类行业中，贸易零售与制造业的中小型企业受到的威胁尤为突出，成为国内勒索软件攻击的主要目标之一。针对我国中小型企业所面临的安全威胁问题，需加强防护措施以保障网络安全。

那么什么是勒索病毒呢？

勒索病毒文件一旦进入被攻击者本地，就会自动运行，同时删除勒病毒母体，以躲避查杀、分析和追踪（变异速度快，对常规的杀毒软件都具有免疫性）。接下来利用权限连接黑客的服务器，上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密（先使用 AES-128 加密算法把电脑上的重要文件加密，得到一个密钥；再使用 RSA-2048 的加密算法把这个密钥进行非对称加密。）。除了病毒开发者本人，其他人是几乎不可能解密。如果想使用计算机暴力破解，根据目前的计算能力，几十年都算不出来。如果能算出来，也仅仅是解开了一个文件。（当然，理论上来说，也可以尝试破解被 RSA-2048 算法加密的总密钥，至于破解所需要的时间，恐怕地球撑不到那个时候。）加密完成后，还会锁定屏幕，修改壁纸，在桌面等显眼的位置生成勒索提示文件，指导用户去缴纳赎金。

勒索软件攻击具有很强的隐蔽性，善于伪装。 勒索软件通常通过网络钓鱼邮件、恶意软件下载或软件漏洞等方式传播，受害者在不知不觉中感染勒索软件，直到勒索软件加密文件并要求支付赎金时才发现自己受到攻击。

勒索软件对于企业而言会造成重大经济损失。 勒索软件通常会加密受害者的重要文件，如财务数据、客户信息、设计图纸等，并要求受害者支付赎金才能解密文件。如果受害者不支付赎金，那么这些文件可能永远无法恢复。

勒索病毒工作原理

勒索病毒文件一旦进入被攻击者本地，就会自动运行，同时删除勒病毒母体，以躲避查杀、分析和追踪（变异速度快，对常规的杀毒软件都具有免疫性）。接下来利用权限连接黑客的服务器，上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密（先使用 AES-128 加密算法把电脑上的重要文件加密，得到一个密钥；再使用 RSA-2048 的加密算法把这个密钥进行非对称加密。）。除了病毒开发者本人，其他人是几乎不可能解密。如果想使用计算机暴力破解，根据目前的计算能力，几十年都算不出来。如果能算出来，也仅仅是解开了一个文件。（当然，理论上来说，也可以尝试破解被 RSA-2048 算法加密的总密钥，至于破解所需要的时间，恐怕地球撑不到那个时候。）加密完成后，还会锁定屏幕，修改壁纸，在桌面等显眼的位置生成勒索提示文件，指导用户去缴纳赎金。

值得一提的是，有的勒索方式索要赎金是比特币，如果你不会交易流程，可能会遭到勒索者的二次嘲讽：自己上网查！

如何防勒索病毒？

1、青铜段位

（1）不要打开陌生人或来历不明的邮件，防勒索病毒通过邮件的攻击；

（2）需要的软件从正规（官网）途径下载；

（3）升级杀毒软件到最新版本，阻止已存在的病毒样本攻击；

（4）Win7、Win 8.1、Win 10用户，尽快安装微软MS17-010的官方补丁；

（5）定期异地备份计算机中重要的数据和文件，万一中病毒可以进行恢复；

（6）定期进行安全培训，日常安全管理可参考“三不三要”（三不：不上钩、不打开、不点击。三要：要备份、要确认、要更新）思路。

2、钻石段位

（1）物理，网络隔离染毒机器；

（2）对于内网其他未中毒电脑，排查系统安全隐患：

a）系统和软件是否存在漏洞

b）是否开启了共享及风险服务或端口，如135、137、139、445、3389

c）只允许办公电脑，访问专门的文件服务器。使用FTP，替代文件夹共享。

d）检查机器ipc空连接及默认共享是否开启

e）检查是否使用了统一登录密码或者弱密码

（3） 尽量不要点击office宏运行提示，避免来自office组件的病毒感染；

（4）尽量不要双击打开.js、.vbs等后缀名文件；

（5）事后处理

3）王者段位

在如何防勒索病毒这个话题中，人们常规的防御思维综上所述。虽然没什么毛病，但怎么看都像是“坐以待毙”，被动挨打。不过也无可厚非，毕竟见招拆招是惯性思维。

正确的防勒索病毒手段，一定是以不变应万变。

举个栗子：

农场主养了一群羊，毛发油亮，膘肥体壮，卖相极好，农场主甚是欣慰。

有一天农场主发现少了几只羊，还发现了狼的踪迹，便明白了有狼偷羊。

农场主跟踪狼的踪迹，设置陷阱，日夜监督，身心俱疲，但还是没有捉到狼，羊的数量还在减少。

最后，农场主把茅草的羊圈换成了大理石羊圈，羊再也没少过，农场主也再也不用去寻找狼。

主机加固的概念便是如此。

所以如何防勒索病毒，主机加固的思路才是良策。

主机加固的核心要点：

1、系统加固

将调试好的系统锁定，变成可信系统。

在可信系统下，非法程序、脚本都无法运行。而且不会影响数据进出。

即使系统有漏洞，甚至管理员权限丢失，这个可信系统都是安全的。

2、程序加固

采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验，校验不通过

拒绝启动，并且可信程序无法被伪装。

3、文件加固

保护指定类型的文件不被篡改。

4、磁盘加密

创建安全沙盒，该沙盒对外隔离，对沙盒内的数据进行加密，确保数据只能在授权管理有效前提

下，才能被解密。如果没有授权，即使管理员也无法拷贝使用这些数据，即使系统克隆也无效。

5、数据库加固

第一层：数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。

第二层：数据库端口访问可信过滤，只允许业务程序进行数据库端口通信连接，在连

接字符串的IP+端口+账号密码中，追加进程身份识别。

第三层：数据库连接SQL文进行智能过滤，防止关键数据被检索和访问，防止数据库

内数据被非法访问，防止数据库表单的危险操作行为。

很多问题换一种思维可能就迎刃而解。如何防勒索病毒，显然用主机加固的策略更佳。至于主机 加固产品如何选型，各位仁者见仁智者见智吧。个人推荐MCK主机加固。这个产品所属公司在数据安全领域可是老前辈了，而且他们的另一个产品SDC沙盒在源代码安全领域是很能打的。