3.6 如何防范勒索病毒侵扰

硕士生小王马上就要毕业了，辛辛苦苦完成的毕业论文还没来得及提交，计算机就不幸感染了WannaCry蠕虫病毒，毕业论文无法打开。提示支付价值相当于300美元的比特币才可解锁。

WannaCry蠕虫病毒于2017年5月12日在全球范围内爆发，仅3天造成至少150个国家、20多万台主机受到攻击，影响到金融、能源、医疗等行业，造成严重的社会影响。我国校园网、公安网、交管网、政务网等都不同程度地受到攻击，致使部分业务无法正常开展，对我国网络空间安全造成严重影响。

WannaCry蠕虫病毒是一种勒索病毒，主要攻击Windows系统，引诱用户点击看似正常的邮件、附件或文件，并完成病毒的下载和安装，称为“钓鱼式攻击”。安装后的病毒会将用户计算机锁死，用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型的文件都将被加密，加密文件的后缀名被统一修改为“.WNCRY”，并修改用户桌面背景，弹出提示框，告知缴纳赎金的方式。

勒索病毒事件给每个网民敲响了警钟，病毒攻击距离每个人并不遥远。手机和其他一些智能终端设备的操作系统主要是安卓系统和苹果系统，这两个系统均可能存在安全漏洞，存在被黑客控制、勒索的风险。同时，手机中常会存储重要资料，安装社交生活、移动支付、网上银行等应用软件，一旦遭受勒索病毒攻击，将产生非常严重的影响。

对于企业用户，为避免感染勒索病毒，需做好以下防范工作。

❶做好数据备份和恢复。数据备份和恢复是发生勒索事件挽回损失的重要工作。面对攻击者的赎金勒索，受害组织需要清晰地了解并考虑以下问题：当系统遭到彻底破坏时，受害组织在多大程度上能够接受数据的丢失；本地备份是否可用，异地备份的内容是否都被删除或以其他的方式导致不可用；如果本地备份介质的内容被删除或不可使用，异地的备份是否可用，需要了解异地备份的频率，如每周一次、每半个月一次或每月一次；确定是否定期验证过备份内容的有效性，数据是否可以正常使用，是否有数据应急恢复流程或手册等。

❷建立云上账号安全策略。如果企业的业务在云上，那么从接入云环境开始就要关注安全。云针对租户账号提供账号登录双因素验证机制（MFA）、密码安全策略和审计功能，企业可以方便地在自己的云上界面中启用和关闭，以确保云服务账号的安全性。

❸阻止恶意的初始化访问。如果攻击者在目标网络无法轻易地建立初始访问，那么攻击者更可能转向其他较为容易进攻的目标。攻击者也希望花费尽可能少的代价来取得相应的收益。

❹搭建具有容灾能力的基础架构。在云环境下，可以通过负载均衡SLB集群的方式搭建高可用架构。当某一个节点发生紧急问题时，可以有效避免单点故障问题，也可以防止数据丢失。

❺强化网络访问控制。精细化的网络管理是业务的第一道屏障。通过有效的安全区域划分、访问控制和准入机制可以防止或减缓攻击者的渗透范围，可以阻止不必要的人员进入业务环境。

❻定期进行外部端口扫描。端口扫描可以检验企业的弱点暴露情况。如果企业有一些服务是连接到互联网的，那么需要确定哪些业务是必须要发布到互联网的，哪些是仅内部访问的。当公共互联网的服务数量越少，攻击者的攻击范围就越窄，从而遭受的安全风险就越小。

❼定期进行安全测试，发现存在的安全漏洞。企业网络管理人员需要定期对业务软件资产进行安全漏洞探测，一旦确定有公开暴露的服务，应使用漏洞扫描工具对其进行扫描，尽快修复漏洞。企业网络管理人员在日常工作中也应该不定期关注软件厂商发布的安全漏洞信息和补丁信息，及时做好漏洞修复管理工作。

❽进行常规的系统维护工作。企业网络管理人员应实施IT软件安全配置，对操作系统和软件进行初始化安全加固，并定期核查其有效性；应为Windows操作系统云服务器安装防病毒软件，并定期更新病毒库；应确保定期更新补丁；应确保开启日志记录功能，并集中进行管理和审计分析；应确保分配账号、授权和审计功能的合理性。

对于普通个人用户，为避免感染勒索病毒，需做好以下防范工作。

❶断网开机，即拔掉网线再开机，这样可有效避免被勒索软件感染。

❷开机后尽快打上安全补丁，或安装各网络安全公司针对某类病毒推出的防御工具，然后再将计算机联网。

❸尽快备份计算机中的重要文件资料到移动硬盘、U盘或光盘中，备份完成后脱机保存上述介质。

❹利用系统防火墙关闭445端口。

❺打开系统自动更新，及时升级操作系统。

❻上网过程中对不明链接、文件和邮件要提高警惕，加强防范。