域名預訂/競價，好“米”不錯過

根據(jù)“火絨威脅情報系統(tǒng)”監(jiān)測，近期出現(xiàn)多起勒索病毒加密文件后綴名為“shanghai3”和“beijing”事件，極具地域性和本土特色，請廣大用戶小心。

需要注意的是，此前同一個勒索病毒加密文件后綴名具有固定格式，作為和其它勒索病毒區(qū)分特征之一。比如勒索病毒Globelmposter加密文件的后綴名通常為某希臘主神名或動物名+數(shù)字（“Zeus666”或“Pig4444”等）。

而此次火絨監(jiān)測到的兩個同為地名的勒索病毒加密后綴名，雖然格式極為相似，但卻分屬兩個不同的病毒所為。

這一現(xiàn)象側(cè)面反映了，勒索病毒在活躍的同時，也在時刻變化著。而根據(jù)“火絨威脅情報系統(tǒng)”的監(jiān)測以及在服務(wù)用戶問題中發(fā)現(xiàn)，勒索病毒的攻擊渠道、攻擊方式等也在增加和改變，導致用戶面臨的安全風險進一步增加。因此，對于勒索病毒的認知和對抗，重點依舊在于提前防護和及時響應(yīng)。

在此，我們根據(jù)“火絨威脅情報系統(tǒng)”的監(jiān)測和統(tǒng)計，選出幾個典型的場景加以說明，并提供相對應(yīng)的有效預防方式，幫助用戶避免風險。

一、漏洞利用或逐漸增加

在以往，勒索病毒運營商遠程主動 向用戶發(fā)起攻擊的方式有兩個：1、直接通過弱口令暴力破解進入用戶系統(tǒng)；2、通過黑市購買遠程登錄憑證進行入侵。

而在近期，火絨“威脅情報系統(tǒng)”監(jiān)測到有漏洞攻擊在大面積、高頻次的爆發(fā)（詳見報告《注意！近期漏洞攻擊頻次均值上漲282%》）。值得警惕的是，我們在被這次漏洞攻擊影響的用戶現(xiàn)場發(fā)現(xiàn)了勒索病毒。

要知道，此前WannaCry勒索病毒席卷全球，正是利用“永恒之藍”漏洞大面積傳播。而上述火絨監(jiān)測到的漏洞攻擊除了通過“永恒之藍”外，還有CVE-2020-0796和CVE-2019-0708等多種漏洞。

上述現(xiàn)象或許表明，勒索病毒已經(jīng)具備了可以穩(wěn)定使用漏洞主動發(fā)起范圍性攻擊的可能。這對于用戶而言，特別是IP暴露在外網(wǎng)，又不方便脫產(chǎn)打補丁的企業(yè)用戶，無疑又增加了被勒索的風險。

預防響應(yīng)：

1、及時打補丁。

2、對于不便打補丁的用戶，可開啟火絨【網(wǎng)絡(luò)入侵攔截】功能（企業(yè)產(chǎn)品為【黑客入侵攔截】），對服務(wù)器提供"虛擬補丁"進行防御，降低因暫時無法安裝補丁帶來的風險。

二、借助黑客工具精準勒索

通過“火絨威脅情報系統(tǒng)”發(fā)現(xiàn)，在不少企業(yè)終端上，存在被入侵并留下黑客滲透工具的現(xiàn)象。

這些黑客工具原本屬于正常程序（如PowerShell、PsExec等），但會被黑客用來尋找企業(yè)終端中的關(guān)鍵服務(wù)器，從而在后續(xù)的入侵中，幫助勒索病毒對重要的信息數(shù)據(jù)進行精準的加密，更“順利”的勒索贖金。

實際上，在目前發(fā)生的安全事件中，有30%都與正常工具遭黑客利用有關(guān)。這種入侵模式，已然成為一條完整的勒索病毒攻擊產(chǎn)業(yè)鏈：通過黑客工具，尋找合適服務(wù)器，然后將信息提供給勒索病毒作者，最后合作完成勒索任務(wù)。這種精準有預謀的勒索形式，對企業(yè)的危害也將是巨大的。

預防響應(yīng)：

1、增加口令強度。

2、企業(yè)用戶安裝火絨企業(yè)版并定期掃描（火絨對黑客工具會做報毒處理），發(fā)現(xiàn)黑客工具可及時聯(lián)系火絨，獲取專業(yè)的、有針對性的安全加固。

3、 個人用戶可開啟【訪問控制】-【程序執(zhí)行控制】中，開啟【風險工具】功能，阻止黑客工具運行。

三、利用“關(guān)聯(lián)單位” 作為攻擊跳板

在不同企業(yè)之間，因為業(yè)務(wù)需求和聯(lián)系而建立互相訪問的網(wǎng)絡(luò)，或者職能相近的政企單位共用一個網(wǎng)絡(luò)，已經(jīng)是常見的網(wǎng)絡(luò)管理現(xiàn)象。

這種網(wǎng)絡(luò)共享的方式在一定程度上方便了企業(yè)之間的辦公，但也同時也讓企業(yè)面臨更多的安全風險。因為共享網(wǎng)絡(luò)就像一個安全防護缺口，黑客可以在入侵網(wǎng)絡(luò)內(nèi)任何一家企業(yè)后，以之為跳板，攻擊其它的企業(yè)。一旦被攻擊的其它企業(yè)未做防護，將面臨各類安全風險。

在火絨幫助企業(yè)用戶現(xiàn)場查看問題時，經(jīng)常在火絨中心日志上發(fā)現(xiàn)攔截大量來源于不同企業(yè)、單位甚至相鄰部門的攻擊信息。

防御響應(yīng)：

1、對于同一網(wǎng)絡(luò)環(huán)境下的其它企業(yè)或部門，在無業(yè)務(wù)需求的情況下，進行網(wǎng)絡(luò)隔離。

2、企業(yè)或單位統(tǒng)一部署終端安全軟件，并在安全工程師指導下開啟相關(guān)防護功能。

安全總結(jié)：

勒索病毒對用戶的傷害在于加密文件索要贖金的行為，在安全響應(yīng)策略中，提前防御、攔截的重要程度要更高于中毒后的查殺掃描。

無論是企業(yè)還是個人用戶，都應(yīng)該做好終端與服務(wù)器的安全防護，加固易被攻破入侵的安全缺口。更重要的是，在做好防御策略后，還要堅持不斷地執(zhí)行，謹防出現(xiàn)因業(yè)務(wù)需求關(guān)閉防護措施造成的風險缺口。

"火絨企業(yè)版"自2018年初面市以來，已有上萬家政府、企業(yè)單位部署試用。該產(chǎn)品易于安裝，操作簡單，運行穩(wěn)定，未發(fā)生過一起嚴重產(chǎn)品故障，充分滿足各單位網(wǎng)絡(luò)安全需求。任何政企單位都可以通過火絨官網(wǎng)申請，免費試用"火絨企業(yè)版"3個月。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！