近日，針對2018年勒索病毒的發(fā)展現(xiàn)狀及趨勢，北京江民新科技術有限公司發(fā)布了《2018年勒索病毒威脅態(tài)勢全報告》。

本報告由北京江民新科技術有限公司赤豹安全實驗室，綜合了江民大數(shù)據(jù)威脅情報平臺、江民終端反病毒監(jiān)測網(wǎng)、國內(nèi)外研究數(shù)據(jù)、以及權(quán)威媒體公開報道，通過對勒索病毒的長期監(jiān)測與跟蹤分析，針對全球2018年全年勒索病毒感染現(xiàn)狀與趨勢進行分析、研究，涵蓋了勒索軟件的起源、特征、現(xiàn)狀、技術趨勢和防御方案等多個方面。

一、勒索軟件簡介

1、什么是勒索病毒?

勒索病毒，是一種流行的木馬，通過騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數(shù)據(jù)資產(chǎn)或計算資源無法正常使用，并以此為條件向用戶勒索錢財。主要以漏洞利用、RDP弱口令暴力破解、釣魚郵件、網(wǎng)頁掛馬等形式進行傳播。這種病毒利用各種加密算法對文件進行加密后，向文件所有者索要贖金。如果感染者拒付贖金，就無法獲得加密的私鑰，無法恢復文件。

這種病毒其實只是傳統(tǒng)安全技術的一個小小的應用創(chuàng)新，以前加密技術一直用于防，現(xiàn)在卻用于攻，從防到攻，突然發(fā)現(xiàn)原來加密技術可以這么玩。在數(shù)字世界里，勒索這門生意，這幾年卻正蓬勃興起。勒索軟件的概念可以追溯到1989 年，那時人們通過人工投遞的軟盤，將 PC 鎖定惡意代碼發(fā)送給受害者，但自2014年以來，隨著比特幣等加密數(shù)字貨幣在全球的廣泛使用，這類業(yè)務有了令人側(cè)目的增長。

2、勒索病毒為什么愈演愈烈?

一方面，利用勒索病毒的成本非常低。在黑市上只要幾千元就可以購買一個未知病毒，勒索成功一次就可以獲利幾萬元甚至幾十萬元，十幾倍到上百倍的利潤，著實讓人瘋狂。

另一方面，勒索病毒防護非常麻煩。因為它簡單粗暴，直接對文件加密，管殺不管埋，只要加密成功，就等著收贖金，傳統(tǒng)的安全防護措施對這種不講道理的攻擊手段束手無策。

第三方面，虛擬貨幣缺乏監(jiān)管。現(xiàn)實中一個勒索案最難解決的問題是如何收贖金，而由于虛擬貨幣監(jiān)管缺位，恰恰解決了這個贖金問題。

所以，門檻低、啟動成本低、高收益、風險低，這些因素組合在一起，勒索病毒愈演愈烈!

3、勒索病毒發(fā)展簡史

1)原始階段：

最早的勒索軟件出現(xiàn)于1989年，名為“艾滋病信息木馬”。該木馬通過替換系統(tǒng)文件，在開機時計數(shù)，一旦系統(tǒng)啟動達到90次時，該木馬將隱藏磁盤的多個目錄，C盤的全部文件名也會被加密，從而導致系統(tǒng)無法啟動。此時，屏幕顯示信息聲稱用戶的軟件許可已過期，要求郵寄189美元以解鎖系統(tǒng)。

2006年出現(xiàn)的Redplus勒索木馬是國內(nèi)首款勒索軟件。該木馬會隱藏用戶文檔，然后彈出窗口勒索贖金，金額從70元至200元不等。據(jù)我國計算機病毒應急處理中心統(tǒng)計，全國各地的該病毒及其變種的感染報告有580多例。而實際上用戶的文件并未丟失，只是被移動到一個具有隱藏屬性的文件夾中。

2)新發(fā)展期，比特幣贖金階段：

從2013年的CryptoLocker開始，勒索軟件進入了新的發(fā)展期，比特幣進入了黑客的視野。CryptoLocker可以感染大部分Windows操作系統(tǒng)，通常通過郵件附件傳播，附件執(zhí)行后會對特定類型的文件進行加密，之后彈出付款窗口，也就是從這款軟件開始，黑客開始要求機構(gòu)使用比特幣的支付贖金，而就是這款軟件為黑客組織帶來了近41000枚比特幣的收入，按照比特幣最新的市價這些比特幣的價值有近10億美元之巨。

3)勒索軟件平臺化及開源化趨勢：

同為2015年一款名為Tox的勒索軟件開發(fā)包在年中發(fā)布，通過注冊服務，任何人都可創(chuàng)建勒索軟件，管理面板會顯示感染數(shù)量、支付贖金人數(shù)以及總體收益，Tox的創(chuàng)始人收取贖金的20%。

2015年下半年，土耳其安全專家發(fā)布了一款名為Hidden Tear的開源勒索軟件。它僅有12KB，雖然體量較小，但是麻雀雖小五臟俱全，這款軟件在傳播模塊，破壞模塊等方面的設計都非常出色。盡管來自土耳其的黑客一再強調(diào)此軟件是為了讓人們更多地了解勒索軟件的工作原理，可它作為勒索軟件的開源化，還是引發(fā)了諸多爭議，在閱讀了這款勒索軟件的源代碼后，筆者也是突然醒悟原來編程的思路與方法真的是別有洞天，破壞性思維和建設性思維的確是完全不同的風格。

4)與竊取大眾隱私信息結(jié)合的趨勢

近年來，針對某些快捷酒店住宿系統(tǒng)及私營醫(yī)院HIS系統(tǒng)的入侵、脫庫(脫庫指黑客入侵到系統(tǒng)后進行信息竊取行為)事件頻發(fā)，而16年之前黑客一般只會將信息悄然盜出后在黑市上待價而沽，但目前黑客更是要在出售掉隱私信息之前還要對醫(yī)院及酒店進行勒索。去年底美國好萊塢某醫(yī)療中心就被黑客攻陷，并勒索340萬美元的贖金，雖然經(jīng)過一番討價還價醫(yī)院最終支付了1.7萬美元后運營恢復，但是該院的就診記錄不久就出現(xiàn)在了的數(shù)據(jù)黑市上。

而且最近的勒索病毒明顯加強了“用戶體驗”的建設，會給用戶很強的心理暗示，比如某些最新的勒索軟件將UI設計成無法退出的界面，而且贖金隨時間漲價，還會以倒計時強化緊迫感。

二、2018年勒索病毒感染情況

1、2018年勒索病毒感染情況

根據(jù)江民病毒監(jiān)測中心對勒索病毒監(jiān)測到的數(shù)據(jù)統(tǒng)計發(fā)現(xiàn)，2017年1月到8月，和2018年7到10月是勒索病毒感染高發(fā)期，2017年勒索病毒感染事件共計為263.2萬次，2018年為119.5萬次，較去年下降了54.6%。

2、服務器攻擊趨勢及攻擊者家族

近一個多月以來，每周都有企業(yè)Windows服務器遭受勒索病毒攻擊，針對服務器的勒索病毒攻擊呈現(xiàn)走高趨勢。今年以來，兩大針對服務器攻擊的勒索病毒家族(GlobeImposter和Crysis家族)均出現(xiàn)爆發(fā)傳播的跡象。

GlobeImposter,Crysis,BTCWare三款勒索病毒，是近來針對服務器攻擊的主流，占比超過90%。這三款勒索病毒，都屬于全球爆發(fā)類的勒索病毒，其中GlobeImposter更是多次攻擊國內(nèi)醫(yī)療和公共服務機構(gòu)，國內(nèi)外安全機構(gòu)多次發(fā)布過該家族的預警。

三、主要勒索事件匯總

1、近兩年勒索事件

1)2017年1月份，撒旦(Satan)惡意勒索程序首次出現(xiàn)。

Satan病毒的開發(fā)者通過網(wǎng)站允許用戶生成自己的Satan變種，并且提供CHM和帶宏腳本W(wǎng)ord文檔的下載器生成腳本進行傳播。Satan勒索病毒主要用于針對服務器的數(shù)據(jù)庫文件進行加密，非常具有針對性加密完成后，會用中英韓三國語言索取0.3個比特幣作為贖金，并威脅三天內(nèi)不支付不予解密。

2)2017年5月12日，一種名為“想哭”的勒索病毒襲擊全球

超過150多個國家和地區(qū)，影響領域包括政府部門、醫(yī)療服務、公共交通、郵政、通信和汽車制造業(yè)。不法分子利用NSA(National Security Agency，美國國家安全局)泄露的危險漏洞“EternalBlue”(永恒之藍)進行傳播。勒索病毒肆虐，儼然是一場全球性互聯(lián)網(wǎng)災難，給廣大電腦用戶造成了巨大損失。最新統(tǒng)計數(shù)據(jù)顯示，150多個國家和地區(qū)超過10萬臺電腦遭到了勒索病毒攻擊、感染。

3)2017年6月27日晚，Petya勒索病毒爆發(fā)

歐洲多個國家被大規(guī)模攻擊，尤其是烏克蘭，政府機構(gòu)、銀行、企業(yè)等均遭大規(guī)模攻擊，其中烏克蘭副總理的電腦也遭受攻擊。病毒作者要求受害者支付價值300美元的比特幣之后，才會回復解密密鑰。

4)2017年10月24日，俄羅斯、烏克蘭等國遭到勒索病毒BadRabbit攻擊

烏克蘭敖德薩國際機場、首都基輔的地鐵支付系統(tǒng)及俄羅斯三家媒體中招，德國、土耳其等國隨后也發(fā)現(xiàn)此病毒。

5)xiaoba勒索病毒

10月20日，發(fā)現(xiàn)一例國產(chǎn)勒索病毒Xiaoba。該病毒加密后文件以.xiaoba[數(shù)字]結(jié)尾，不同文件類型其結(jié)尾數(shù)字也不相同，其贖金可以通過微信、支付寶支付，目前暫未發(fā)現(xiàn)該勒索病毒有大范圍傳播。倒計時200秒還不繳贖金，被加密的文件就會被全部銷毀。

6)2018年1月，GandGrab勒索家族首次出現(xiàn)

應該算是勒索病毒家族中的最年輕，但是最流行的一個勒索病毒家族，短短幾個月的時候內(nèi)，就出現(xiàn)了多個此勒索病毒家族的變種，而且此勒索病毒使用的感染方式也不斷發(fā)生變化，使用的技術也不斷在更新，此勒索病毒主要通過郵件進行傳播，采用RSA+ASE加密的方式進行加密，文件無法還原。

7)2018年2月，多家互聯(lián)網(wǎng)安全企業(yè)截獲了Mind Lost勒索病毒

該勒索軟件采用C#語言開發(fā)，其主要功能是采用AES加密方式加密本地文件，之后引導受害者至指定的網(wǎng)頁要求付費解密文件，與以往勒索軟件不同的是，此次勒索軟件并沒有要求受害者支付比特幣等數(shù)字貨幣進行付費解密操作，而是直接要求用戶使用信用卡或借記卡支付贖金，以此來套取銀行卡信息，進而將此信息出售給不法分子從而牟取更大利益。加密樣本賬戶的電腦的Users目錄下的文件，如果后綴為”.txt”,”.jpg”,”.png”,”.pdf”,”.mp4″,”.mp3″,”.c”,”.py”的文件就直接加密，且解密贖金達到200美元。其加密完成后顯示的提示圖片如下：

8)GlobeImposter勒索病毒家族

GlobeImposter勒索病毒家族是從2017年5月開始出現(xiàn)，并在2017年11月和2018年3月有兩次較大范圍的疫情爆發(fā)，在2017年11月前的GlobeImposter勒索病毒大部分被稱為GlobeImposter1.0，此時的病毒樣本加密后綴名以“.CHAK”較為常見，在2018年3月時出現(xiàn)了GlobeImposter2.0，此時的病毒樣本加密后綴名以“.TRUE”，“.doc”較為常見，GlobeImposter也增加了很多新型的技術進行免殺等操作。

9)“麒麟2.1”的勒索病毒

2018年3月1日，監(jiān)測到了“麒麟2.1”的勒索病毒。通過QQ等聊天工具傳文件方式傳播，一旦中招就會鎖定電腦文件，登錄后會轉(zhuǎn)走支付寶所有余額。中招后，它會鎖定電腦文件，表面上要求掃碼用支付寶付款3元，但實際上掃碼是登錄支付寶，登錄后會轉(zhuǎn)走支付寶所有余額。

10)2018年3月，CrySiS勒索病毒爆發(fā)

服務器文件被加密為.java后綴的文件，采用RSA+AES加密算法，主要運用了Mimikatz、IP掃描等黑客工具，進行RDP爆破，利用統(tǒng)一密碼特性，使用相同密碼對全網(wǎng)業(yè)務進行集中攻擊，通過RDP爆破的方式植入，同時此勒索病毒在最近也不斷出現(xiàn)它的新的變種，其加密后綴也不斷變化之中。

11)2018年12月1日，一個以微信為支付手段的勒索病毒在國內(nèi)爆發(fā)

幾日內(nèi)，該勒索病毒至少感染了10萬臺電腦，通過加密受害者文件的手段，已達到勒索贖金的目的，而受害者必需通過微信掃一掃支付110元贖金才能解密。

2018年6月，羅某某自主研發(fā)出病毒“cheat”，用于盜取他人支付寶的賬號密碼，進而以轉(zhuǎn)賬方式盜取資金。

同時制作內(nèi)含“cheat”木馬病毒代碼的某開發(fā)軟件模塊，在互聯(lián)網(wǎng)上發(fā)布，任何通過該開發(fā)軟件編寫的應用軟件均包含木馬病毒代碼，代碼在后臺自動運行，記錄用戶淘寶、支付寶等賬號密碼，以及鍵盤操作，上傳至服務器。此外，嫌疑人通過執(zhí)行命令對感染病毒的計算機除系統(tǒng)文件、執(zhí)行類文件以外的所有文件進行加密，隨后彈出包含解密字樣和預置微信收款二維碼的勒索界面，解密程序標題顯示“你的電腦已被加密，請執(zhí)行以下操作，掃一掃二維碼，你需要支付110進行解密”。

四、常見傳播方式

勒索病毒的傳播方式有很多,比如服務器入侵傳播、利用漏洞傳播、郵件附件傳播、通過軟件供應鏈傳播和掛馬網(wǎng)頁傳播等，我們這里總結(jié)了幾種最常見傳播方式。

1、郵件附件傳播

通過偽裝成產(chǎn)品訂單詳情或圖紙等重要文檔類的釣魚郵件，在附件中夾帶含有惡意代碼的腳本文件。一旦用戶打開郵件附件，便會執(zhí)行里面的腳本，釋放勒索病毒。這類傳播方式的針對性較強，主要瞄準公司企業(yè)、各類單位和院校，他們最大的特點是電腦中的文檔往往不是個人文檔，而是公司文檔。最終目的是給公司業(yè)務的運轉(zhuǎn)制造破壞，迫使公司為了止損而不得不交付贖金。

如Locky病毒,該病毒一般是通過郵件方式進行傳播,黑客對目標對象發(fā)送帶有附件的惡意郵件,員工或者領導一旦打開附件后,電腦、手機上的各種重要文件,包括軟件源代碼、Word、PPT、PDF、圖片等都會被加密,無法正常使用。

2、服務器入侵傳播

以Crysis家族為代表的勒索軟件主要采用此類攻擊方式。黑客首先通過弱口令、系統(tǒng)或軟件漏洞等方式獲取用戶名和密碼，再通過RDP(遠程桌面協(xié)議)遠程登錄服務器，一旦登錄成功，黑客就可以在服務器上為所欲為，例如：卸載服務器上的安全軟件并手動運行勒索軟件。所以，在這種攻擊方式中 ，一旦 服務器被入侵，安全軟件一般是不起作用的。

服務器能夠被成功入侵的主要原因還是管理員的帳號密碼被破解。而造成服務器帳號密碼被破解的主要原因有以下幾種：為數(shù)眾多的系統(tǒng)管理員使用弱密碼，被黑客暴力破解;還有一部分是黑客利用病毒或木馬潛伏在用戶電腦中，竊取密碼;除此之外還有就是黑客從其他渠道直接購買賬號和密碼。黑客得到系統(tǒng)管理員的用戶名和密碼后，再通過遠程登錄服務器，對其進行相應操作。

3、軟件供應鏈攻擊傳播

軟件供應鏈攻擊是指利用軟件供應商與最終用戶之間的信任關系，在合法軟件正常傳播和升級過程中，利用軟件供應商的各種疏忽或漏洞，對合法軟件進行劫持或篡改，從而繞過傳統(tǒng)安全產(chǎn)品檢查達到非法目的的攻擊類型。

2017年爆發(fā)的Fireball、暗云III、類Petya、異鬼II、Kuzzle、XShellGhost、CCleaner等，以及2018年12月被曝光的國產(chǎn)“cheat”后門事件均屬于軟件供應鏈攻擊。而在烏克蘭爆發(fā)的類Petya勒索軟件事件也是其中之一，該病毒通過稅務軟件M.E.Doc的升級包投遞到內(nèi)網(wǎng)中進行傳播。

4、漏洞傳播

漏洞傳播存在多種類型：

1)通過服務器弱口令傳播

如Rapid勒索病毒,根據(jù)部分網(wǎng)友在部分論壇中的反饋發(fā)現(xiàn),該病毒通過服務器弱口令方式傳播。

2)永恒之藍系列

①Wannacry及其變種可謂該系列病毒中最為臭名昭著的一類了,爆發(fā)以來造成的損失不計其數(shù),包括安全狗在內(nèi)的眾多廠商均針對該系列病毒推出過解決方案。

②Petya勒索病毒的變種。使用的傳播攻擊形式和WannaCry類似,但該病毒除了使用了永恒之藍(MS17-010)漏洞,還罕見的使用了黑客的橫向滲透攻擊技術,利用WMIC/PsExec/mimikatz等

③Satan勒索病毒。通過永恒之藍漏洞攻擊工具在局域網(wǎng)內(nèi)橫向傳播,主動入侵未安裝補丁的服務器

3)利用掛馬網(wǎng)頁傳播

通過入侵主流網(wǎng)站的服務器，在正常網(wǎng)頁中植入木馬，讓訪問者在瀏覽網(wǎng)頁時利用IE或Flash等軟件漏洞進行攻擊。這類勒索軟件屬于撒網(wǎng)抓魚式的傳播，并沒有特定的針對性，一般中招的受害者多數(shù)為裸奔用戶，未安裝任何殺毒軟件。

4)復合傳播方式

I、GandCrab家族勒索病毒

傳播渠道相對其他家族豐富很多,包括掛馬攻擊、水坑攻擊、漏洞攻擊和釣魚郵件攻擊,其中水坑攻擊令人防不勝防。水坑攻擊傳播通過入侵網(wǎng)站后臺,將網(wǎng)頁內(nèi)容篡改為亂碼,并且提示需要更新字體,誘導用戶下載運行“字體更新程序”,實際上用戶下載到的是GandCrab2勒索病毒。GandCrab3勒索病毒還通過Bondat蠕蟲下載傳播。

II、Crysis勒索軟件

Crysis這個勒索軟件主要通過垃圾郵件、釣魚郵件、游戲修補程序、注冊機、捆綁破解軟件等方式傳播;有的廠商則認為主要傳播方式是利用服務器弱口令漏洞,爆破遠程登錄用戶名和密碼,進而通過RDP(遠程桌面協(xié)議)遠程登錄目標服務器運行勒索病毒,黑客遠程登錄服務器后手動操作。

III、GlobeImposter勒索者病毒

GlobeImposter勒索者病毒可以利用電子郵件、文件傳輸?shù)确绞竭M行擴散,更主要的特點是利用系統(tǒng)的漏洞發(fā)起動態(tài)攻擊。針對企業(yè)服務器的攻擊以弱口令爆破服務器后遠程登錄的方式最為常見。黑客使用自動化攻擊腳本,暴力破解服務器管理員賬號密碼,入侵后可秘密控制服務器,卸載服務器上的殺毒軟件并植入勒索病毒。

5)總結(jié)

黑客為了提高勒索軟件的傳播效率，也在不斷更新攻擊方式，釣魚郵件傳播依然是黑客常用的傳播手段，服務器入侵的手法更加嫻熟運用，同時也開始利用系統(tǒng)自身的漏洞進行傳播。

五、針對企業(yè)服務器勒索攻擊

以企業(yè)服務器為攻擊目標已成勒索病毒新趨勢

從去年下半年開始，勒索病毒在國內(nèi)的攻擊重點開始轉(zhuǎn)向了各類服務器，尤其以windows服務器為甚。黑客利用弱口令和各類系統(tǒng)漏洞，軟件漏洞向服務器遠程滲透投毒，經(jīng)常出現(xiàn)一個服務集群多臺主機被感染的情況，造成的影響輕則服務中斷，有嚴重的更影響到整個公司的運營，已經(jīng)成為影響企業(yè)安全的一大問題。

企業(yè)服務器上的數(shù)據(jù)文件一旦被加密，將嚴重威脅到公司的正常運轉(zhuǎn)，企業(yè)也更傾向于向不法黑客交付贖金。服務器或?qū)⒊蔀椴环ê诳蛡鞑ダ账鞑《镜闹攸c攻擊目標。

2018開年以來，針對Windows服務器的勒索病毒攻擊此起彼伏，尤其是最近國內(nèi)數(shù)家機構(gòu)服務器同時被GlobeImposter勒索病毒攻擊，黑客在突破企業(yè)防護邊界后釋放并運行勒索病毒，最終導致系統(tǒng)被破壞，日常業(yè)務大面積癱瘓，服務器安全問題開始備受關注。

六、勒索攻擊發(fā)展趨勢

1、遠程訪問弱口令攻擊成為主流

許多企業(yè)工作中需要進行遠程維護，所以許多機器都啟用了遠程訪問。如果密碼過于簡單，它將很容易被攻擊者利用。到了2018年，通過弱口令爆破遠程登錄服務器、再植入勒索病毒的攻擊方式最為常見。幾個影響力最大的勒索病毒幾乎全都采用這種方式進行傳播，感染用戶數(shù)量最多。

2、勒索病毒變種更新迭代更快

勒索病毒每隔一段時間就會出現(xiàn)一個新變種，有的修改加密算法，增加了加密速度，有的為了對抗查殺，使用了免殺、反逆向、反沙箱等手段。此外有的勒索病毒新版本開始使用隨機后綴，從而增加了受害者查找所中勒索病毒類型的難度。

3、國產(chǎn)勒索病毒開始活躍

最近針對國內(nèi)用戶的勒索病毒流行，此類通常會使用全中文的勒索提示界面，個別會要求直接通過微信、支付寶二維碼的形式來索取贖金。鑒于國內(nèi)移動支付操作簡單，與其它語言版本的勒索病毒相比，索取的贖金數(shù)值不高且支付操作簡單，因此受害者支付贖金的可能性更高。

4、勒索門檻越來越低

隨著各種編程語言編寫的勒索病毒的出現(xiàn)，勒索軟件的開發(fā)門檻越來越低。而且我們發(fā)現(xiàn)繼使用PHP、Python等語言之后，另一種更簡單易用的腳本語言——AutoIt語言也被發(fā)現(xiàn)用于編寫勒索病毒，加上網(wǎng)上迅速傳播的一些勒索病毒的技術細節(jié)，導致了勒索病毒從制作到傳播的技術門檻不斷降低。

5、內(nèi)網(wǎng)安全重視程度亟需加強

Wannacry集中爆發(fā)在企業(yè)和高校等組織的內(nèi)網(wǎng)，核心原因還是內(nèi)網(wǎng)安全重視程度不夠，MS17-010漏洞遲遲未得到修復，很多內(nèi)網(wǎng)主機445文件共享端口未被禁用是主要原因。

如果內(nèi)網(wǎng)提前做安全加固，比如及時修復MS17-010 SMB服務遠程代碼執(zhí)行漏洞，針對Windows系統(tǒng)不安全項做核查修復(比如禁用SMB服務)，定期異地備份系統(tǒng)數(shù)據(jù)等亦可避免感染這次的Wannacry勒索蠕蟲或降低勒索蠕蟲感染帶來的損失。無論是內(nèi)網(wǎng)還是外網(wǎng)，定期的防黑加固甚至一套完整的縱深防御體系建設應該被重視并予以執(zhí)行。

七、如何防范勒索病毒?

應對勒索病毒的方法：

第一，已知病毒。對于已知病毒的防范，技術手段比較多，首先是把相關補丁打上，然后將殺毒軟件、IPS、WAF等安全設備的事件庫升級到最新版本，基本就能有效防范已知的勒索病毒。

第二，未知病毒。對于未知病毒的防范一直以來都是個難點，基本上所有中招的單位中的都是未知勒索病毒。針對這種病毒的防范，只能采用主動防護的措施，從系統(tǒng)底層采用白名單技術，嚴格控制對系統(tǒng)中文件的操作權(quán)限，禁止非信任程序?qū)ξ募募用懿僮鳎梢杂行У姆乐剐吕账鞑《镜墓?。對勒索病毒的防護還是應該采用主動防護的措施，事先部署防勒索系統(tǒng)，將重要文件保護起來。

勒索病毒以防為主，目前大部分勒索病毒加密后的文件都無法解密，注意日常防范措施：

1)數(shù)據(jù)備份和恢復：可靠的數(shù)據(jù)備份可以將勒索軟件帶來的損失最小化，但同時也要對這些數(shù)據(jù)備份進行安全防護，避免被感染和損壞。

2)小心使用不明來源的文件，陌生郵件及附件也需謹慎打開

3)安裝安全防護軟件并保持防護開啟狀態(tài)

4)及時安裝Windows漏洞補丁!

5)同時，也請確保一些常用的軟件保持最新版本，特別是Java，F(xiàn)lash和Adobe Reader等程序，其舊版本經(jīng)常包含可被惡意軟件作者或傳播者利用的安全漏洞。

6)為電腦設置較強的密碼——尤其是開啟遠程桌面的電腦。并且不要在多個站點重復使用相同的密碼。

7)安全意識培訓：對員工和廣大計算機用戶進行持續(xù)的安全教育培訓是十分必要的，應當讓用戶了解勒索軟件的傳播方式，如社交媒體、社會工程學、不可信網(wǎng)站、不可信下載源、垃圾郵件和釣魚郵件等。通過案例教育使用戶具備一定的風險識別能力和意識。

目前，勒索軟件仍然是一項頂級的流行性安全威脅。為了攻擊大型企業(yè)和組織，勒索軟件不斷研究新型變體，企業(yè)機密文件和數(shù)據(jù)的安全風險與日俱增。結(jié)合了基于信任的行為分析和其他反勒索軟件功能(如白名單和應用程序控制，行為分析，網(wǎng)絡監(jiān)控，漏洞屏蔽和高仿真機器學習)的跨代技術方式的安全解決方案可以更好地保護企業(yè)，同時最大限度地減少對其計算機內(nèi)部資源的影響。