据深信服云端监测，2022年全网遭受勒索攻击高达3583万次，与去年相比增加了1300+万次。随着RaaS模式的日益成熟，攻击门槛越来越低，数据安全面临巨大挑战。（）

<< 滑动查看下一张图片 >>

通过对全年各类勒索事件的梳理，深信服总结了勒索病毒常用的攻击方式和运维过程中的注意事项，供各单位参考——

(资料图片仅供参考)

勒索病毒主要入侵方式

弱密码(RDP、SQL Server暴破)、业务或系统漏洞、钓鱼邮件、挂马网页、恶意安装包。

如何降低中勒索病毒的风险？

运维管理

日常运维管理好主机密码，密码应该包含大小写、数字、随机字符，且长度不应小于8位；

避免直接将3389、1433等重要端口直接映射至公网，可使用VPN等方案代替；

及时修复主机系统和业务系统漏洞，将业务系统更新到最新版本；

遵守最小权限管理，避免普通终端权限过高成为突破口。

个人用户

勿点击来历不明的邮件、链接，防止信息泄露；

保证终端安全防护软件正常运行，不要轻易关闭；

从官方途径获取应用，不轻信各类“破解版”、“纯净版”；

妥当存放重要信息，杜绝明文保存密码等行为。

中了勒索病毒应该怎么处理？

断网、隔离、排查资产、病毒扫描、联系厂商溯源、加密或备份还原、安全加固。

1、第一时间断网、隔离终端，保护好终端环境，并排查是否有其它失陷资产；

2、对内网主机全盘扫描，及时处置扫描出来的威胁；

3、联系厂商进行溯源分析，并针对此次攻击做出专业建议；

4、咨询是否有解密工具，若没有可进行环境重装或还原；

5、根据厂商的建议进行加固。

深信服云网端解决方案

勒索发现的点更多集中在终端，但要想实现更加可靠的拦截，必须在云网端做到全方位保障。

依托于安全托管中心，深信服云网端安全托管方案“见招拆招”，针对勒索病毒复杂的入侵步骤打造了全生命周期防护，构建勒索风险有效预防、持续监测、高效处置的勒索病毒防御体系。安全专家定期对安全趋势、运营成果进行总结和汇报，为安全效果兜底（勒索理赔），让用户安全工作更省心。

作为勒索攻击的最后一道防线，终端安全产品的重要性不言而喻。

在终端侧，深信服终端安全管理系统EDR基于勒索病毒攻击链为终端构建涵盖“预防-防护-检测响应”的4-6-5多层次立体防御。包括勒索诱捕、微隔离、轻补丁漏洞免疫、RDP暴破防护，二次登陆防护等等。

基于国际知名攻击行为知识库 ATT&CK矩阵，深信服EDR对终端系统层、应用层的行为数据进行采集， 覆盖 163 项技术面，贴合实际攻击场景，综合研判更加精准，并通过国际知名测评机构赛可达实验室的能力认证。 通过IOA+IOC 技术融合，EDR能够将端侧采集的行为数据结合业务环境关联分析，重现威胁入侵事件场景，从场景层面抽丝剥茧，提升研判精准度。 云端安全专家团队结合数据自动化聚合，对端侧上报的海量数据进行分析，研判安全事件，精准定位威胁根因，快速响应。

那么，深信服终端安全管理系统EDR应该如何正确配置和使用，才能更好地防止勒索攻击呢？

杀毒

开启“实时监控”，设置自动处置；

检查病毒查杀设置，设置定时扫描，确保策略正常下发。

攻击防护

开启“RDP暴力破解”、“SMB暴力破解”防护，阻止黑客对服务器进行密码暴破。并开启“远程桌面登录认证”，防止黑客获取服务器密码之后登录服务器；

开启“勒索诱饵防护”、“powershell拦截”，对一些安全性较高的服务器也可开启“服务器可信进程防护”；

开启“防退出”、“防卸载”、“加白文件密码保护”，阻止黑客入侵后的恶意举动；

站点服务器开启“Webshell检测”，对第三方站点可手动设置站点路径。

运维

定期进行基线检查，查找安全隐患并及时修复；

安排人员定期查看日志，对勒索相关事件保持高度警惕；

建议使用EDR的微隔离对于威胁端口进行策略访问控制并封堵。

温馨提醒

如果您的单位不幸中了勒索病毒，不要急于支付赎金，一定要求助专业人员进行取证操作，分析勒索软件的攻击路径，进行溯源，确定中勒索病毒的原因。

重中之重！备份加密数据，不要访问任意可疑软件、链接、文件等。

近期，深信服千里目安全技术中心深盾终端实验室通过线上统计、案例跟踪、舆情监控等多维度的追踪手段，持续分析全球勒索攻击技术及发展，发布了2022年勒索软件专题报告。

精彩回顾