专题：勒索病毒安全防护

admin

1.事前夯实风险防范基础

(1) 全面摸清资产家底

全面梳理本单位资产情况，建立完善、定期更新本单位资产台账，明确资产归属责任主体，摸清资产底数。

定期开展安全基线排查和风险评估，全面掌握资产风险点位、安全措施等现状，强化资产安全防护。

(2) 收敛互联网暴露面

及时下线停用系统，按照最小化原则，减少资产在互联网上暴露，特别是避免重要业务系统、数据库等核心信息系统在互联网上暴露。

关闭不必要的端口和服务，如远程访问服务3389端口和22端口，降低外来网络攻击风险。

(3) 开展风险隐患排查

定期开展漏洞隐患排查，针对采用的网络产品，及时进行版本升级，第一时间修补漏洞，采用漏洞扫描设备和产品的，对漏洞扫描设备进行集中管理，建立完整、持续的漏洞发现和管理手段，定期开展巡检，将供应链厂商产品，驻场人员等纳入网络安全管理范畴，定期开展供应链安全风险隐患排查。

(4) 严格访问控制

根据业务需要细致划分隔离区、内网区、接入区等网络域，限制网络域间的访问，并通过防火墙限制恶意地址连接、远程访问数据库等。

按照权限最小化原则开放必要的访问权限，及时更新访问控制规则。

采用动态口令等两种或两种以上进行身份鉴别，用户口令长度应不低于8位并定期更新。

(5) 备份重要数据

根据系统、文件和数据的重要程度分类分级进行数据存储和备份，主动加密存储和定期备份包括不同业务系统、存储位置等多源异构数据在内的重要敏感数据，并及时更新备份数据。

对存储重要敏感数据的硬件设备采取全盘加密，加密存储数据的扇区等措施，防范因勒索攻击引发的数据泄露事件。

(6) 强化安全监测

在网络侧，部署流量监测、阻断等类型网络安全防护手段，加强针对勒索病毒通联行为的实时监测、封堵处置。

在终端侧，安装具有主动防御功能的安全软件，不随意退出安全软件、关闭防护功能等，并设立和定期更新应用软件白名单。

(7) 提升安全意识

以培训、演练等形式提升勒索攻击风险防范意识。

如：不点击来源不明的邮件附件；打开邮件附件前进行安全查杀；不从不明网站下载软件；不轻易运行脚本文件和可执行程序；不混用工作和私人外接设备；在工作设备与移动存储设备外接时，关闭移动存储设备自动播放功能并定期进行安全查杀。

(8) 制定应急预案

制定涵盖勒索攻击在内的网络安全突发事件应急预案，明确牵头部门、职责分工、应急流程和关键举措，一旦发生勒索攻击事件，立即启动预案，第一时间开展应急处置工作。

综合采取实战攻防、沙盘推演等形式，开展以勒索攻击应急处置为核心的网络安全演练，提升实战化攻击防御能力。

2.事中做好攻击应急响应

(1) 隔离感染设备

确认遭受勒索攻击后，立即采取断网、断电的方式隔离勒索病毒感染设备，关闭设备无线网络、蓝牙连接等，禁用网卡并拔掉感染设备全部外部存储设备。立即修改感染设备的登录密码、同一局域网下的其他设备密码、最高级系统管理员账号登录密码等。

(2) 排查感染范围

在已隔离感染设备的情况下，对勒索攻击影响业务系统、生产系统及备份数据等情况进行排查，根据感染设备异常访问、非法外联等情况，排查数据泄露情况，确认勒索攻击影响。

对于感染情况不明的设备，提前进行磁盘备份，在隔离网内现场或线上排查，避免启动设备时因残留勒索病毒再次感染。

(3) 研判攻击事件

通过感染的勒索病毒涉及的勒索信息、加密文件、可疑样本、弹窗信息等对勒索病毒进行分析，提取勒索病毒通信特征、样本文件和传播途径等重要信息，并通过本地网络日志信息、勒索病毒样本文件等研判勒索攻击入侵渠道。第一时间向地方通信主管部门报告勒索攻击事件。

(4) 及时开展处置

充分调动本单位内部网络安全力量处置勒索攻击事件，将勒索病毒主控端恶意域名、恶意IP地址等加入本单位网络通信黑名单，阻断通联行为。

利用勒索病毒解密工具、已公开的加密密钥、数据加密缺陷等尝试破解勒索病毒，恢复加密数据。

必要时，积极联系具备应对勒索攻击专业能力的网络安全企业、机构等寻求协助。

3.事后开展网络安全加固

(1) 利用备份数据恢复数据

根据遭受勒索攻击影响相关设备数据备份的情况，综合衡量恢复数据的时间成本和重要程度等因素，确认数据恢复范围、顺序及备份数据版本，利用备份数据进行数据恢复。

(2) 排查修补网络安全风险

深入排查和整改勒索攻击利用的网络安全防护薄强环节，重点排查弱口令、账户权限、口令更新和共用等问题，及时更新系统、软件、硬件等版本并修补漏洞。

(3) 更新网络安全管理措施

根据勒索攻击事件暴露出网络安全的问题，针对性修订完善网络安全管理工作制度，对遭受的勒索攻击事件进行复盘分析，并更新网络安全突发事件应急预案。

(4) 补齐网络安全技术能力

综合勒索攻击事件情况，深入查找本单位网络安全技术能力短板弱项，补齐补强覆盖网络安全威胁风险预警、监测处置、指挥调度等技术能力，强化勒索攻击防范应对。


4.做好保障服务支撑

(1) 强化勒索攻击全网监测预警

综合运用基础电信网络监测处置技术手段，强化勒索病毒感染、通联等恶意行为实时监测，及时预警重大勒索攻击风险。

根据勒索病毒特征，加强针对勒索病毒主控端恶意域名、恶意IP地址等的全网封堵，及时阻断勒索病毒传播。

(2) 加强勒索攻击威胁信息共享

依托网络安全威胁信息共享工作机制，汇聚勒索病毒样本特征、攻击情报等信息，进一步加强勒索攻击威胁信息共享，指导强化勒索攻击防范应对工作，加快提升勒索攻击防御合力。
典型勒索病毒攻击事件
1.起亚美国遭 DoppelPaymer 勒索病毒攻击，导致长时间 IT 系统中断

2021年2月，起亚汽车美国公司（KMA）遭 DoppelPaymer 勒索病毒攻击，要求起亚在两到三周内支付 2000 万美元的比特币赎金（约合人民币1.29亿元），一旦延期支付，赎金将达到约 3000 万美元（约合1.93亿元）。攻击者在其数据泄露网站称，已经窃取起亚美国大量数据，起亚美国若未与之谈判，将在两到三周内公布数据。此次，勒索病毒攻击导致起亚美国长时间 IT 系统中断，影响其应用程序、电话服务、支付系统等。

2.宏碁遭 REvil 勒索病毒攻击，攻击团伙索要高额赎金

2021 年 3 月，中国台湾计算机制造商宏碁（Acer）遭 REvil 勒索病毒攻击。REvil 勒索病毒团伙在其数据泄露网站公布遭窃取文件的图片作为证据，包括财务电子表格、银行余额和银行通信等，索要赎金 5000 万美元（约合人民币3.25亿元），经谈判如提前支付赎金，勒索病毒团伙可提供20%的赎金折扣，提供解密工具、漏洞报告，并删除窃取到的文件。

3.美最大成品油管道运营商科洛尼尔遭暗面组织勒索病毒攻击，严重影响美东海岸成品油供应

2021 年 5 月，美国最大成品油管道运营商科洛尼尔（Colonial Pipeline）公司遭暗面（arkside）勒索病毒攻击，导致美国东部沿海主要城市输送油气的管道系统被迫下线，成品油供应中断。科洛尼尔支付约500万美元（约合人民币3200万元）的加密货币勒索赎金，获得暗面组织提供的勒索病毒解密工具，但由于该工具恢复数据速度缓慢，科洛尼尔已采用备份数据进行系统恢复。

4.北约“北极星”计划云平台供应商遭受勒索病毒攻击，攻击者索要高额赎金

2021年6月，勒索病毒攻击者入侵西班牙企业 Everis 及其位于南美洲的子公司，北约“北极星”计划云平台相关代码、文档等敏感信息可能遭到窃取。攻击者称有能力植入后门，攻击出于政治动机，威胁将数据发送到俄罗斯情报部门，以此勒索超 10 亿欧元（约合人民币 76 亿元）的赎金。

5.西班牙电信运营商 MasMovil Ibercom 遭 REvil 勒索病毒攻击，数据遭到窃取

2021年7月，西班牙电信运营商 MasMovil Ibercom 遭 REvil 勒索病毒攻击，且 REvil 勒索攻击团伙在其专门的数据泄露网站中表示，已窃取该企业大量敏感信息，并公开备份文件、经销商名单等部分数据截图作为已成功实施网络攻击的证据。