近两年，勒索病毒肆虐全球，影响波及众多行业和机构，已经成为最受关注的网络安全问题之一。勒索病毒它不仅会感染计算机上已有的文件，还会对新创建的文件进行加密，危害巨大，那么我们今天就来简单的了解一下勒索病毒。

勒索病毒的攻击态势

    2019年，勒索病毒攻击特点也发生了变化：2018到2017年，勒索病毒由过去撒网式无差别攻击逐步转向以服务器定向攻击为主，而2018年至今，勒索病毒攻击则以服务器定向攻击为主，辅以撒网式无差别攻击手段。

浙科友通从2019年截到至今，已经接到几起中勒索病毒的客户咨询电话，被勒索金额从人民币几万元到几十万元不等。其表象都是财务数据库被加密，导致用友账套打不开，用友版本跨越“财务通、U8、NC”个个系统，无法开展正常财务工作，其中某客户还在进行上市IPO，影响巨大。根据我们统计，从2018年到2019年GandCrab、GlobeImposter、CrySis这三大家族勒索病毒的受害者最多，企业用户仍然是勒索病毒最热衷的攻击对象

特点传播

特点1

弱口令攻击

  有多种系统或软件的弱口令遭受攻击，这里勒索病毒最常用的是远程桌面登录弱口令。

特点2

U盘蠕虫病毒

U盘蠕虫过去主要用于传播远控和挖矿病毒，但在2018年11月突然出现传播GandCrab勒索病毒的现象。

特点3

系统、软件漏洞

由于许多用户安全意识不足，导致许多漏洞被黑客利用进行攻击。2018年，有多个勒索软件家族通过Windows系统漏洞或Web应用漏洞入侵Windows服务器。其中最具代表性的当属Satan勒索病毒，Satan勒索病毒最早于2018年3月在国内传播，其利用多个Web应用漏洞入侵服务器。

勒索病毒应急相应指南

一、如何判断中毒

勒索病毒的主要目的是为了勒索，所以在植入病毒完成加密后，必然会提示受害者您的文件已经被加密了无法再打开，需要支付赎金才能恢复文件。

1、业务系统无法访问

2018年以来，勒索病毒的攻击不再局限于加密核心业务文件，转而对企业的服务器和业务系统进行攻击，感染企业的关键信息系统，破坏企业的日常运营，甚至还延伸至生产线——生产线不可避免地存在一些遗留系统和各种硬件难以升级打补丁等原因，一旦遭到勒索攻击的直接后果就是生产线停产

2、电脑桌面被篡改

服务器被感染勒索病毒后，最明显的特征是电脑桌面发生明显变化，即：桌面通常会出现新的文本文件或网页文件，这些文件用来说明如何解密的信息，同时桌面上显示勒索提示信息及解密联系方式，通常提示信息英文较多，中文提示信息较少

3、文件后缀被篡改

二、如何紧急自救

1.隔离中招主机

当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机。隔离的目的，一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器，另一方面是为了防止黑客通过感染主机继续操控其他服务器。

隔离主要包括物理隔离和访问控制两种：物理隔离常用的操作方法是断网和关机；访问控制常用的操作方法是加策略和修改登录密码。

2.排查业务系统

业务系统的受影响程度直接关系着事件的风险等级。评估风险，及时采取对应的处置措施，避免更大的危害。所以，在已经隔离被感染主机后，需要对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。

3.联系专业人员

在应急自救处置后，建议第一时间联系专业的技术人士或安全从业者，对事件的感染时间、传播方式，感染家族等问题进行排查。

   三、如何进行恢复

一般来说，可以通过历史备份、解密工具、重装系统来恢复被感染的系统，建议在专业人员指导下进行，避免造成其他不必要的损失。

1.历史备份还原

事先进行备份，既是最有效也是成本最低的恢复文件的方式。如果事前已经对文件进行了备份，就不会再担忧和烦恼，可以直接自行恢复被加密的文件。值得注意的是，在文件恢复之前，应确保系统中的病毒已被清除，已经对磁盘进行格式化或是重装系统，以免插上移动硬盘的瞬间，或是网盘下载文件到本地后，备份文件也被加密。

2.数据库恢复

绝大多数勒索病毒使用的加密算法都是国际公认的标准算法，这种加密方式的特点是，只要加密密钥足够长，普通电脑可能需要数十万年才能够破解，破解成本是极高的。浙科友通已经采取过通过数据库修复的技术手段，成功帮助中勒索病毒的客户修复了被加密的数据库。

需要重点说明以下几点：

01.早修复比晚修复损失小；

02. 修复不能保证100%的数据恢复，要视被那种勒索病毒加密。目前遇到的案例都能做到95%以上的数据库修复率。

03. 修复时间和难度不一，短的两天，长的可能需要一周时间。

04. 有备份（哪怕是很久以前的备份数据）修复的可能性更高。

3.重装操作系统

当文件无法解密，也觉得被加密的文件价值不大时，也可以采用重装系统的方法，恢复系统。但是，重装系统意味着文件再也无法被恢复。另外，重装系统后需更新系统补丁，并安装杀毒软件和更新杀毒软件的病毒库到最新版本，而且对于服务器也需要进行针对性的防黑加固。

总体来说，企业在经过了一轮信息化建设过后，我们体会到了信息化给我们带来的便捷，规范，企业有形资产变成了存放在硬盘上的无形资产。这部分的资产信息也需要我们企业去重视他。经过我们浙科的了解，现在很多企业的服务器还在“裸奔”，没有任何防护措施。企业想解决网络安全问题又不知道怎么做，外面的网络公司又不了解我们公司的实际经营情况。浙科友通现在成立了企业网络安全部，我们懂企业业务、懂“ERP+安全”，我们能更好的服务您。欢迎来电咨询！