企业如何应对勒索病毒攻击？

企业应对勒索病毒攻击需要采取一系列的措施，以下是一些建议：
1. "建立应急响应计划"： - 制定详细的应急响应计划，明确在勒索病毒攻击发生时的应对步骤和责任分配。 - 定期进行演练，确保所有员工了解应急响应流程。
2. "网络安全培训"： - 对员工进行网络安全培训，提高他们对勒索病毒的认识和防范意识。 - 教育员工识别钓鱼邮件、恶意链接等潜在威胁。
3. "安装防病毒软件"： - 在所有设备上安装可靠的防病毒软件，并定期更新病毒库。 - 定期进行系统扫描，及时发现并清除潜在威胁。
4. "数据备份"： - 定期进行数据备份，并确保备份存储在安全的地方，如云存储或物理隔离的存储设备。 - 建立数据恢复流程，以便在攻击发生时能够迅速恢复数据。
5. "网络隔离"： - 将网络划分为不同的安全区域，限制不同区域之间的访问。 - 使用防火墙和入侵检测系统来监控网络流量，防止恶意软件传播。
6. "软件更新和补丁管理"： - 定期更新操作系统和应用程序，确保所有软件都应用了最新的安全补丁。 - 使用自动化工具来管理软件更新，减少人为错误。
7. "限制用户权限"： - 限制用户对敏感

相关内容：

lass="xiangguan" id="content">

近年来，勒索病毒呈现不断增长的态势，并逐渐形成了一条完整的地下黑色产业链。如波及全球范围的勒索攻击WannaCry，自出现以来已经影响到150个国家，逾二十万受害者，给企业机构、个人等均带来了严重的影响。

2019年勒索病毒依然是企业安全的重要威胁。据腾讯安全发布的《2019上半年企业安全报告》显示，有83%的企业终端存在至少一个高危漏洞未修复。目前，勒索病毒仍然是破坏力最强、影响面最广的一类恶意程序。时至今日，保护自身免受勒索病毒攻击仍然是企业网络安全的关注重点。

什么是勒索病毒？

早在1996年，美国的Young等人第一次提出了加密病毒的概念，并命名为Cryptovirology，并提出通过结合加密算法和计算机病毒可以实现访问用户关键数据，加密用户文件来勒索钱财的目的，这就是勒索软件的雏形。

作为一种恶意软件，勒索病毒通过锁定系统的屏幕或加密用户的文档、数据库信息等，来实现阻止或限制用户访问系统，并以此为条件向受害者索要赎金。攻击的样本以exe、js、wsf、vbe等类型为主，还会通过编程避免影响某些系统目录，以确保负载运行结束后，系统仍然保持稳定，以使受害者能够支付赎金。

若企业或个人不幸中招，除了病毒开发者本人，其他人几乎不可能解密。勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。加密完成后，勒索病毒通常会通过修改壁纸或留下某种形式的文档，指示受害者如何支付赎金，重新获得对加密文件的访问权限。某些“变体”还会向受害者设定支付时限，并威胁如果在此时限之前未收到付款，将删除密钥或增加赎金价格。

勒索病毒的常见攻击方式

勒索病毒常见的感染方式包括垃圾邮件附件、水坑式攻击、恶意广告、钓鱼网站、暴力破解弱密码入侵，以及利用漏洞主动攻击传播等。其中部分勒索病毒具有蠕虫病毒的特性，典型的包括臭名昭著的WannaCry等。

一旦发送成功，勒索病毒一般会通过某种嵌入式文件扩展名列表来识别用户文件和数据。其攻击的对象不仅是缺乏系统防护的个人用户，还包括企业机构，医院、学校等基础公共设施。勒索形式主要是要求被感染用户支付赎金以解除限制，赎金形式包括真实货币、比特币或其它虚拟货币。同时，很多勒索软件的交易是通过暗网进行的，这种网络对于传递的信息全程加密，匿名传递，追溯难度非常大。

勒索病毒的攻击手段多样，对常规依靠特征检测的安全产品是一个极大的挑战。随着网络技术的发展，这类加密病毒不断发展，传播方式日益多样，影响范围迅速扩大，攻击能力逐渐增强。由于不法分子寻求提高感染率以及增加其非法收入，勒索软件的传播方法已发生变化。目前的入侵方式大多经过专门设计，旨在绕过传统安全防护产品和安全沙箱检测和屏蔽。

面对勒索病毒攻击是否应缴纳赎金？

事实上，是否缴纳赎金是一个进退两难的选择。目前，尚未有绝对有效的勒索病毒解决方案存在。对于中招企业和个人来说，不鼓励向黑客支付赎金。即便支付赎金，攻击者也可能“撕票”，而且在收到赎金后，黑客组织有了更多成本和动力继续作恶，开发新的破坏性更强的勒索病毒，形成恶性循环。同时，因为虚拟货币交易的双向匿名属性，使得钱款来源和去向无处可查。这就意味着，即便给黑客付款，黑客也无法判断这笔所谓“赎金”，究竟是来自哪一台被锁定的电脑。

勒索病毒对于企业用户而言，效果更加直接且更具侵犯性。数据显示，在2018年，网络安全事件造成的损失估计近450亿美元。这一巨额数字，很大一部分都是由企业缴纳的赎金组成。一旦勒索软件发动攻击成功，损失几乎是无法阻挡的。如果不支付赎金，那么受害组织恢复数据就需要很高的成本。

目前针对勒索病毒的防护技术，主要分为两大类，一是根据勒索软件行为特征进行检测，二是通过数据备份技术进行数据恢复。勒索病毒的检测技术主要通过分析其文件系统的操作、网络流量或加密算法等特征进行，利用数据备份技术实现数据恢复主要是通过云存储、日志文件系统或者增加本地额外存储设备等方式进行。

如何预防勒索病毒攻击？

黑客持续进化，攻击愈趋复杂。在威胁面前，只有先后之分，没有绝对的安全和不安全。因此，企业需要创建一种深入的防御性安全防范方法，做好数据备份，把危机挡在门外，保护自己免受勒索攻击，不让恶意软件对业务造成实际损失。

尽管大多数受害案例都是企业级别的用户，但对于个人用户来说，也应做好防范，以应对突然来袭的勒索病毒：

首先，定期备份重要文件，最好能在U盘、本地、云盘都拷贝一份，以防不测。操作系统和IE、Flash等常用软件应及时打好补丁，以免病毒利用漏洞自动入侵电脑；

其次，不要随意公开邮箱地址，邮箱密码不要使用弱密码，尽量定期修改。切勿轻易打开陌生人发来的可疑文件及邮件附件，切勿轻易打开来源不可靠的网址。禁止Office宏功能，需要开启宏时，需要确认文件来源是否可信；

最后，不要随意将来历不明的U盘、移动硬盘、闪存卡等移动存储设备插入电脑。电脑中应安装并启用专业的安全软件，及时更新并定期进行安全扫描。

针对勒索病毒的防御工作，企业应做到：

第一，定期进行安全测试发现系统存在的安全漏洞。企业网络运维人员需要定期对业务软件资产进行安全漏洞检测，同时日常也应关注软件厂商发布的安全漏洞信息和补丁信息，及时做好漏洞修复管理工作，安装并更新杀毒软件。

第二，定期数据备份与恢复，阻止恶意的初始化访问。企业可以通过及时且频繁的对重要文档的备份，以确保业务连续性，同时也要对这些备份进行安全防护。可靠的数据备份可以将勒索软件带来的损失降低到最小化。

第三，切实做好内网的安全管理，关闭非必需端口，如445端口等，严格做好内外网隔离。企业应测试和部署相关安全补丁，搭建具有容灾能力的基础架构，强化网络访问控制，定期进行外部端口扫描。

第四，注重电子邮件安全，不要轻易打开不可信网站、垃圾邮件等。钓鱼邮件是目前勒索软件传播的主要方式，有条件的单位和用户应该部署电子邮件防护产品，对所有的电子邮件附件进行病毒扫描。

第五，建立安全事件应急响应流程和预案。在安全事件发生后，要通过组织快速响应、标准化的应急响应流程、规范的事件处置规范来降低安全事件发生的损失。切勿轻信网上所谓的有偿解密方法、渠道，小心网络诈骗分子利用这次事件招摇撞骗。

第六，采用多层防护的网络安全策略。很多勒索病毒与高级网络攻击相结合，单一的防护手段无法抵御，应该采取多种防护手段相结合方式搭建多层的网络安全防护体系，建立全局的外部威胁和情报感知能力，如部署腾讯安全高级威胁检测系统、腾讯电脑管家等安全防护手段；

第七，避免使用容易被破译的弱密码。简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名等弱密码，在网络服务中极容易被不法分子攻击，成为勒索病毒入侵的重要通道。

在勒索病毒不断“变异”，不断进化渗透的趋势下，各企业、组织的网络管理人员需要高度重视，做好基础防御工作，构建和扩展深度防御，保障企业数据安全，促进业务良性发展，有效避免此类威胁影响企业信息安全。