看完本文，您将成为企业数据守护者，信息安全管理专业人员，指导企业进行勒索病毒预防，加强数据安全管理。本文主要有三个方面内容，一是让大家了解勒索病毒传染方式和原理，二是教大家如何预防勒索病毒，三是感染了勒索病毒怎么办。本文约3000字，阅读大约需要10分钟。

勒索病毒近几年严重影响企业数据安全，一旦感染将给企业用户带来无法估量的损失，通过网络及系统漏洞，向受害电脑或服务器植入病毒，进以加密硬盘上的关键文档（如ERP数据库文件）乃至整个硬盘，然后向受害者索要数额不等的赎金后才予以解密，该病毒性质恶劣、危害极大，一旦感染将给企业用户带来无法估量的损失，笔者去年处理了五家公司勒索病毒事件，通过对企业日常信息安全工作调研，结合工作实际经验，进行总结希望能给大家有所帮助。

一、勒索病毒的传染方式

（一）浏览网络感染病毒

用户浏览有安全威胁的网站或不健康网络，系统被植入木马感染勒索病毒。

（二）收发邮件传播

通过邮件传播病毒，病毒执行体附着于邮件附件的docx、XLS、TXT等文件中，攻击者以广撒网的方式大量传播垃圾邮件、钓鱼邮件，一旦收件人打开邮件附件或者点击邮件中的链接地址，勒索软件会以用户看不见的形式在后台静默安装，实施勒索。

（三）利用操作系统或网络设备漏洞传播

利用漏洞传播是经常遇到的一种方式。通过网络、系统、应用程序的漏洞攻击用户。例如在WINDOWS系统中，攻击者会利用135、137、138、139、445端口漏洞进行攻击，感染传播网内计算机。

（四）安装软件捆绑传播

与其他恶意软件捆绑传播，这种传播方式这两年有所变化。有用户使用P2P下载例如Bt、迅雷等下载工具下载文件后，勒索病毒体同下载文件进行捆绑导致用户感染，建议企业针对常用的软件建议软件白名单库，将常用的软件经过病毒查杀和恶意代码查杀后统一放置在公司文件服务器中，并通过策略设置禁止随意安装白名单外软件。

（五）移动存储介质传播

可移动存储介质如U盘、本地和远程的驱动器以及网络共享传播、社交媒体传播。

通过以上的几种传播方式，我们总结如下：

二、如何预防勒索病毒入侵

（一）预防为主，高度重视

所有事件都是以预防为主，将风险前置。企业信息安全全员参与，做好安全教育，养成良好的计算机网络使用习惯，如建立信息安全体系，制定相应的信息安全管理制度，组织企业员工进行信息安全培训等，在对发生事件的企业进行日常信息化调研时，发现领导不重视信息安全管理，对信息安全管理无任何要求，员工上网的计算机杀毒软件未安装，计算机口令未设置，网络边界无安全防护设备，计算机操作系统本地防火墙未开启等，特别是财务类管理系统，如ERP系统，账套主管密码未设置，服务器开启了远程桌面等，增加了病毒感染风险。

（二）、加强网络层防御

现在我们离不开网络，正在经历全球互联网化的浪潮，几乎所有的商业企业都已经接入互联网。企业的边界渐渐模糊，网络逐渐成为企业的虚拟边界。有效加强企业网络层的安全防御水平，对企业防止来自网络层的恶意攻击非常有必要。建议接入互联网的企业都应在网络边界部署防火墙、入侵检测等安全设备，设备上了，还应进行相应的安全策略配置生效，定期进行安全策略检查和日志核查。在经历的企业中，有的企业在接入互联网边界无任何安全措施，普通的家用路由器直接接入互联网，有的买了安全设备，接入网络中无任何安全策略配置，初始口令未更改等，建议制定安全设备策略规则，评审后进行实施。

（三）、加强应用系统防护

目前企业用户大量使用ERP、CRM、OA等管理软件，已经开始将交易、管理、运营的数据迁移至信息化系统之中，所以管理和业务软件的安全至关重要。由于勒索病毒的泛滥，已经造成多起企业ERP系统被加密，企业业务无法正常开展的案例。不同的管理和业务系统软件，因为其开发语言、开发过程、开发环境，以及其应用场景、应用过程、应用环境的不同，会有不同的安全隐患存在。建议对主要业务系统利用系统数据备份功能每天进行数据备份，并将数据通过自动化脚本备份到其他版本系统中，如ERP系统数据从WINDOWS系统备份到LINUX文件系统中，同时要关注厂家针对重大系统漏洞推出的系统漏洞补丁及时进行更新（强烈建议更新前做好数据备份），在接触的另一家公司ERP系统数据库被加密后就是通过LINUX系统中备份的数据进行了恢复，对于远程访问，建议使用VPN进行安全连接，避免直接将服务器暴露在互联网上。

（四）、加强对服务器操作系统进行加固

能够对服务器操作系统内核提供安全防御，通过内核级加固、强制访问控制、应用自保护等提高操作系统对抗黑客攻击及恶意代码的能力，有效检测及拦截已知和未知安全威胁，全方位保障服务器操作系统、业务系统和数据内容的安全，如及时更新操作系统补丁，进行密码复杂设置，定期进行修改，并安装病毒软件和恶意代码查杀软件，开启操作系统病毒墙，关闭不使用的通信端口，远程访问如3389端口通过防火墙策略设置仅允许指定机器登录，同时定期查看防火墙日志和操作系统日志信息，如遇到日志被清除或防火墙规则增加或减少了规则等，就要引起注意。

（五）加强终端安全防御

勒索病毒的目的很简单：控制企业核心业务系统，掌握企业重要业务数据。只有这样，企业才能快速地支付“赎金”。业务实践和统计数据显示，95%以上针对企业用户的网络攻击，目标都是业务服务器和业务终端。但是，很多企业用户对核心业务系统基础设施（服务器和PC）防护意识薄弱，认为安装一款免费杀毒软件就能够“万事大吉”。对于终端防御来讲，查杀病毒只是一个环节，还需要科学的对“操作系统补丁、操作系统漏洞、高可持续攻击、0day攻击”进行系统的防御。建议：企业用户应该进行两方面的安全防御，服务器做好主机加固、终端安全管理、防病毒管理，有条件的企业可采购企业版本防病毒软件统一部署管理。

（六）做好数据备份

数据备份是关键，任何时候都不要忘记对数据进行备份，备份数据是企业遭受到勒索病毒攻击后最后的补救措施。但是，新型勒索病毒越来越智能，会主动搜寻备份设备与备份软件，一旦发现备份系统将优先进行加密，实施勒索。我们遇到的案例中，企业ERP系统遭到勒索病毒的攻击，运行服务器、灾备服务器、备份服务器被一锅端，丢失长达6年的业务数据。我们建议：企业用户日常化关键数据备份工作。有条件的企业，建议做好异地备份，并通过网络隔离保障备份数据安全。

三、得了勒索病毒，该怎么办

万一不幸，得了勒索病毒可按以下方法进行处理，一是立即断开中病毒的计算机网络连接，全网进行病毒查杀，对已中病毒的电脑重新进行格式化，安装操作系统（在接触的企业中，发现一台电脑感染后，未及时断网，两天内网络40多台电脑感染）；二是如是主要业务系统如ERP系统，可通过备份数据进行恢复，如无备份数据可通过第三方数据恢复厂家进行数据恢复，因ERP系统数据库在运行中，部分数据未加密，可通过技术手段进行恢复，当然价格不菲，部门业务数据，如 WORD文件等加密可通过第三方数据恢复公司进行恢复，该方法不能保证能恢复；三是如果数据不着急使用，可等后期攻击者放出解密秘钥进行解密。

希望通过本文给大家有所帮助，关注我一起学安全。