預(yù)防勒索病毒就這十招！

近期，勒索病毒再次卷土重來(lái)，我們技術(shù)部接到不少用戶的求援，反饋服務(wù)器或電腦中毒，大部分的文件（包括最重要的數(shù)據(jù)庫(kù)文件）都被加密并改名（文件名被強(qiáng)制增加各種五花八門的后綴），導(dǎo)致所有業(yè)務(wù)系統(tǒng)都無(wú)法正常運(yùn)行。由于勒索病毒的變種迭代更新頻繁，以至于中招后要么無(wú)解，要么必須付出巨額資金去修復(fù)，數(shù)據(jù)丟失的代價(jià)實(shí)在慘重，中招的用戶直呼“太恐怖”！

在這里我們要再次呼吁一下，沒(méi)有中招的用戶切莫大意，預(yù)防措施一定要做到位，否則等到勒索病毒找上門的時(shí)候就后悔晚矣！

真實(shí)案例分享

廣州某醫(yī)藥連鎖公司近日向我們技術(shù)部求援：前臺(tái)無(wú)法打開(kāi)『流通之星』ERP系統(tǒng)。在我們技術(shù)員遠(yuǎn)程協(xié)助后發(fā)現(xiàn)，用戶前臺(tái)電腦上收銀系統(tǒng)的文件結(jié)構(gòu)正常，但是無(wú)法連接服務(wù)器的數(shù)據(jù)庫(kù)，遂讓用戶檢查下服務(wù)器上的情況，發(fā)現(xiàn)服務(wù)器上的大部分文件名，都被強(qiáng)制加上了C1H的尾巴，這是明顯的中了勒索病毒的癥狀，如下圖用戶所拍照片所示：

經(jīng)過(guò)我們工程師的研究判定，該服務(wù)器是中了GlobeImposter勒索病毒的最新變種，目前國(guó)內(nèi)外的安全防護(hù)廠家都還沒(méi)有針對(duì)該勒索病毒的最新變種提供解密工具。

由于用戶之前沒(méi)有重視信息化安全，所以數(shù)據(jù)也沒(méi)有做好備份工作。數(shù)據(jù)庫(kù)被勒索病毒加密了，就意味著用戶經(jīng)營(yíng)多年的數(shù)據(jù)全部丟失。而近期用戶又要GSP認(rèn)證，有可能連GSP認(rèn)證都無(wú)法通過(guò)，屆時(shí)店面將無(wú)法開(kāi)展?fàn)I業(yè)，后果不堪設(shè)想！

面對(duì)被勒索病毒加密的數(shù)據(jù)，擺在用戶面前的只有兩種選擇：

1、向黑客繳納贖金；

2、找專業(yè)的數(shù)據(jù)恢復(fù)公司嘗試解密。

權(quán)衡利弊之后，用戶還是選擇了第二個(gè)方案，雖然將第三方數(shù)據(jù)恢復(fù)公司在收到數(shù)據(jù)庫(kù)文件后，確認(rèn)能搶救回?cái)?shù)據(jù)的成功率高達(dá)90%，但也必須付出高額的勞務(wù)費(fèi)用，并且即使恢復(fù)后也不能保證數(shù)據(jù)庫(kù)中是否還存在數(shù)據(jù)丟失的情況。即便如此，用戶也只能默默接受。

上面的案例是真實(shí)存在的，它就發(fā)生在我們的用戶群體里，并且已經(jīng)有多起這樣的事故發(fā)生，數(shù)據(jù)丟失的嚴(yán)重后果，讓人觸目驚心！

勒索病毒簡(jiǎn)介

說(shuō)起勒索病毒就不得不提2017年5月WannaCry利用“永恒之藍(lán)”漏洞肆虐全球的事件，也是從這個(gè)時(shí)間起，人們才真正聽(tīng)說(shuō)、了解、認(rèn)識(shí)到相比傳統(tǒng)的病毒木馬，“勒索病毒”才是真正令人談“毒”色變、防不勝防的攻擊手段。

直至今天，各類新增的勒索病毒和變種依舊層出不窮，入侵方式也變的多種多樣。

預(yù)防方案

我們整理了一份預(yù)防勒索病毒預(yù)防加固方案供廣大用戶參考，希望大家能對(duì)數(shù)據(jù)安全這個(gè)課題認(rèn)真對(duì)待，同時(shí)也根據(jù)方案檢查下自家的整套IT基礎(chǔ)架構(gòu)是否存在各類安全隱患，有則改之，不要給勒索病毒留下任何入侵的機(jī)會(huì)。

整套預(yù)防方案主要針對(duì)服務(wù)器和網(wǎng)絡(luò)這兩部分共10個(gè)方法展開(kāi)，具體如下圖所示：

（點(diǎn)擊圖片可放大觀看）

（一）、服務(wù)器

作為企業(yè)信息化業(yè)務(wù)系統(tǒng)的核心，服務(wù)器的安全是重中之重。但我們發(fā)現(xiàn)有一些用戶，也許是出于節(jié)約成本的原因，現(xiàn)在仍然在使用普通的電腦充當(dāng)業(yè)務(wù)系統(tǒng)的服務(wù)器，這樣其實(shí)是存在著巨大的風(fēng)險(xiǎn)的。

我們知道，專業(yè)的服務(wù)器是專門用于7*24小時(shí)不間斷運(yùn)作的，所以服務(wù)器里面的所有部件，都是針對(duì)這一場(chǎng)景進(jìn)行設(shè)計(jì)研發(fā)生產(chǎn)的，因而服務(wù)器的質(zhì)量和壽命要比普通電腦強(qiáng)很多，一般用個(gè)5到10年都是不成問(wèn)題的。

而且專業(yè)的服務(wù)器最核心的地方在于可以支持磁盤陣列，通過(guò)磁盤陣列，可以將數(shù)據(jù)存儲(chǔ)到多個(gè)硬盤中做冗余處理，哪怕其中一個(gè)硬盤出現(xiàn)物理性故障，只要及時(shí)將壞掉的硬盤換新就能繼續(xù)同步數(shù)據(jù)，這樣是不會(huì)影響到服務(wù)器的正常運(yùn)作的。所以專業(yè)服務(wù)器在安全性和穩(wěn)定性上，普通電腦是難以望其項(xiàng)背的，即使現(xiàn)在有些高端的電腦主板也開(kāi)始支持磁盤陣列了，但基本上也都是基于軟件算法去實(shí)現(xiàn)的（俗稱軟陣列），其性能和安全性根本無(wú)法得到保障。所以當(dāng)您想通過(guò)普通電腦代替服務(wù)器以節(jié)約成本的時(shí)候，請(qǐng)牢記一點(diǎn)：設(shè)備有價(jià)，數(shù)據(jù)無(wú)價(jià)！

另外還有部分用戶，雖然已經(jīng)購(gòu)買了專業(yè)的服務(wù)器，但是在使用上也存在誤區(qū)，他們覺(jué)得這臺(tái)服務(wù)器就是一臺(tái)價(jià)格貴一點(diǎn)的電腦而已，平時(shí)還會(huì)拿服務(wù)器來(lái)辦公、上網(wǎng)等。其實(shí)這本身就是一種資源濫用，同時(shí)也給服務(wù)器帶來(lái)了各種安全隱患，因?yàn)槲覀儾僮麟娔X的時(shí)候有時(shí)候難免會(huì)出現(xiàn)一些誤操作，導(dǎo)致電腦中毒、重要文件被誤刪、系統(tǒng)崩潰等，而這樣的事情如果發(fā)生在服務(wù)器上，后果不堪設(shè)想。所以盡可能地，就讓服務(wù)器靜靜地呆在機(jī)柜或者機(jī)房里，讓它去專心地做好業(yè)務(wù)系統(tǒng)的支撐服務(wù)工作就好。

下面就圍繞服務(wù)器的安全防護(hù)提出我們的幾點(diǎn)建議：

1、杜絕弱口令密碼

將服務(wù)器操作系統(tǒng)的登錄密碼復(fù)雜化并保管好，千萬(wàn)不要為了方便就把Administrator賬號(hào)的密碼設(shè)置為空，同時(shí)最好能做到定期修改密碼，這樣可以有效杜絕病毒通過(guò)遠(yuǎn)程的方式入侵。

2、及時(shí)修復(fù)系統(tǒng)相關(guān)安全漏洞

首先，服務(wù)器操作系統(tǒng)的選型，盡可能使用版本更新的操作系統(tǒng)，像Windows Server 2003 R2和Windows Server 2008 R2都是比較老的操作系統(tǒng)了，生命周期已經(jīng)或即將結(jié)束，微軟在這些產(chǎn)品生命周期結(jié)束后也不會(huì)再提供漏洞修復(fù)支持了，那么這些操作系統(tǒng)的安全漏洞肯定就比較多。

其次，即使服務(wù)器使用最新版本的Windows Server 2019，也必須及時(shí)打好補(bǔ)丁修復(fù)漏洞，不要把系統(tǒng)自帶的自動(dòng)更新功能關(guān)閉。

3、安裝安全防護(hù)軟件

雖然Windows本身有自帶了防火墻，但是相對(duì)比較弱雞，這個(gè)時(shí)候我們可以搭配安全系數(shù)更高的第三方防火墻來(lái)為服務(wù)器保駕護(hù)航，這里我們建議用【火絨安全軟件】。在當(dāng)下浮躁的軟件市場(chǎng)，【火絨安全軟件】就是一股清流，它不像某數(shù)字安全管家、某鵝廠的電腦管家和某山衛(wèi)士一樣，為了一些利益經(jīng)常無(wú)故自動(dòng)為電腦安裝各種雜七雜八的軟件，同時(shí)也不會(huì)老在桌面上彈出那些亂七八糟的彈窗廣告。相反，安裝好火絨之后，它就靜悄悄地躺在系統(tǒng)托盤的角落里，像一個(gè)隱世高手，平時(shí)根本感覺(jué)不到它的存在，但是它一直在背后默默守護(hù)著服務(wù)器的安全，還能將所有的彈窗廣告進(jìn)行攔截屏蔽，這樣的良心軟件絕對(duì)是有口皆碑的典范。

在這里要提醒的一點(diǎn)事，在安裝好各類安全軟件后，建議將『流通之星』的安裝文件夾添加到安全軟件的信任白名單中，避免軟件被誤判為病毒遭到誤殺。這里以【火絨安全軟件】為例進(jìn)行演示：

4、禁止網(wǎng)絡(luò)共享

在服務(wù)器上開(kāi)通Guest來(lái)賓賬戶和網(wǎng)絡(luò)共享，無(wú)疑就是在為勒索病毒的入侵打開(kāi)了一個(gè)后門，所以必須禁止Guest來(lái)賓賬戶和關(guān)閉Windows默認(rèn)共享和共享服務(wù)。

(1)、禁止Guest來(lái)賓賬戶的方法：

這里以Windows Server 2008 R2為例進(jìn)行演示：

(2)、關(guān)閉Windows默認(rèn)共享和共享服務(wù)的方法：

關(guān)閉Windows默認(rèn)共享設(shè)置的方法很多，這里以Windows Server 2008 R2關(guān)閉Server服務(wù)的方法來(lái)舉例：

打開(kāi)運(yùn)行窗口，輸入services.msc，點(diǎn)確定，右側(cè)找到server服務(wù)選項(xiàng)，雙擊它，先點(diǎn)擊【停止】按鈕，再將啟動(dòng)類型改為【禁用】。

5、修改常用服務(wù)端口號(hào)

一般服務(wù)器上比較常用的服務(wù)主要是遠(yuǎn)程桌面和SQL數(shù)據(jù)庫(kù)，其他的服務(wù)包括Web、FTP等，需要根據(jù)實(shí)際的使用情況進(jìn)行修改，然后再在【W(wǎng)indows高級(jí)防火墻】里面做對(duì)應(yīng)的準(zhǔn)入放行規(guī)則，這樣可以大大提高服務(wù)器的安全防護(hù)級(jí)別。這里就以遠(yuǎn)程桌面為例進(jìn)行相應(yīng)的介紹。

遠(yuǎn)程桌面是勒索病毒滲透入侵的主要手段，如非必要，請(qǐng)不要在公網(wǎng)上直接將服務(wù)器的遠(yuǎn)程桌面端口進(jìn)行開(kāi)放（默認(rèn)為TCP協(xié)議的3389端口），要開(kāi)放前將服務(wù)器的遠(yuǎn)程桌面默認(rèn)端口號(hào)進(jìn)行修改。

這里我們提供一個(gè)小工具——【遠(yuǎn)程桌面端口一鍵修改】，只需填寫您想修改好的端口號(hào)，然后確認(rèn)后重啟下服務(wù)器就好了。這個(gè)小工具在修改好端口號(hào)后，還會(huì)將該端口號(hào)自動(dòng)添加到Windows高級(jí)防火墻里面的準(zhǔn)入規(guī)則，可以幫您省去了自己添加防火墻規(guī)則的麻煩。

另外，關(guān)于SQL的端口號(hào)修改請(qǐng)百度搜索一下，這里不再介紹。

6、啟用防火墻

（1）這里以Windows Server 2008 R2為例，演示如何打開(kāi)【W(wǎng)indows防火墻】：

（2）開(kāi)啟防火墻后，針對(duì)需要開(kāi)放的端口?？梢栽诟呒?jí)Windows防火墻的入站規(guī)則中添加相應(yīng)的端口準(zhǔn)入規(guī)則。對(duì)于『流通之星』的用戶，也可以使用我們提供的【添加防火墻入站規(guī)則】小工具，操作更方便。

（3）對(duì)于勒索病毒最喜歡的幾個(gè)端口，我們還提供了一個(gè)【預(yù)防勒索病毒加固工具】，一鍵操作就可以將幾個(gè)高危端口進(jìn)行禁止。

7、數(shù)據(jù)備份

信息化系統(tǒng)的業(yè)務(wù)數(shù)據(jù)，它的重要性對(duì)于企業(yè)來(lái)說(shuō)不言而喻，前面我們鋪墊了那么多安全防護(hù)的方法，最終的目的，就是為了要保護(hù)好這些業(yè)務(wù)數(shù)據(jù)，那如何做到萬(wàn)無(wú)一失呢？那就是數(shù)據(jù)備份！只有做好數(shù)據(jù)備份工作，我們才能提前對(duì)未知的安全隱患進(jìn)行隔離。鑒于業(yè)務(wù)數(shù)據(jù)對(duì)于企業(yè)用戶的重要性，所以再怎么強(qiáng)調(diào)數(shù)據(jù)備份的重要性都不為過(guò)。在這里我們也將常見(jiàn)的幾種數(shù)據(jù)備份方法提供如下：

（1）本地備份

通過(guò)SQL數(shù)據(jù)庫(kù)自帶的自動(dòng)作業(yè)系統(tǒng)，定時(shí)將業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫(kù)備份到服務(wù)器的某個(gè)指定的專門用于存儲(chǔ)數(shù)據(jù)庫(kù)備份文件的文件夾，例如可以設(shè)置為每天的凌晨2點(diǎn)進(jìn)行自動(dòng)備份（和正常辦公時(shí)間錯(cuò)開(kāi)）。

（2）異地備份

不定期將上面步驟備份好的數(shù)據(jù)庫(kù)文件，復(fù)制到專門用于存儲(chǔ)備份數(shù)據(jù)的移動(dòng)硬盤或者其他的服務(wù)器、電腦上進(jìn)行異地備份，這樣做的好處是，萬(wàn)一服務(wù)器出現(xiàn)物理性故障的時(shí)候（主要是硬盤出現(xiàn)故障的時(shí)候），我們手里還有額外的備份。

這里需要注意的一點(diǎn)是，如果是使用移動(dòng)硬盤進(jìn)行備份電話，切記不要為了圖省事，就將移動(dòng)硬盤一直插在服務(wù)器上，因?yàn)槿绻?wù)器中毒了，會(huì)第一時(shí)間感染到服務(wù)器上的所有硬盤分區(qū)，移動(dòng)硬盤也不能幸免。所以備份好數(shù)據(jù)后就得把移動(dòng)硬盤從服務(wù)器上拔掉。

（3）云備份

有了本地備份和異地備份后，還有一個(gè)加強(qiáng)版的云備份。云備份可以說(shuō)是異地備份的升級(jí)版，畢竟異地備份用的移動(dòng)硬盤也好，其他服務(wù)器或電腦也好，相對(duì)安全系數(shù)還不是特別的高。極端情況下，萬(wàn)一用戶所在整個(gè)局域網(wǎng)都中了病毒，那么有可能存儲(chǔ)備份數(shù)據(jù)的另外一臺(tái)服務(wù)器或電腦也很可能一起淪陷。這個(gè)時(shí)候我們就可以考慮啟用云備份。

云備份可以分公有云備份和私有云備份。

公有云備份就是購(gòu)買百度企業(yè)網(wǎng)盤、阿里云網(wǎng)盤、堅(jiān)果云等互聯(lián)網(wǎng)云存儲(chǔ)服務(wù)，然后將備份好的數(shù)據(jù)備份到這些互聯(lián)網(wǎng)云存儲(chǔ)服務(wù)上；

如果您對(duì)業(yè)務(wù)數(shù)據(jù)傳上公有云有隱私方面的考慮的話，那可以選擇私有云備份，像上面第二點(diǎn)提到的，將備份好的數(shù)據(jù)庫(kù)備份到其他服務(wù)器或電腦上其實(shí)也算私有云的一種形式。但在這里我們推薦使用一種更專業(yè)的方法，就是在局域網(wǎng)內(nèi)搭建NAS進(jìn)行私有云備份。

NAS是什么？NAS是網(wǎng)絡(luò)附屬存儲(chǔ)的意思，實(shí)際上就是連接至網(wǎng)絡(luò)的存儲(chǔ)設(shè)備，通過(guò)NAS來(lái)備份數(shù)據(jù)的好處是顯而易見(jiàn)的，它占用空間小、耗電量低，關(guān)鍵是它能和服務(wù)器一樣支持磁盤陣列，24小時(shí)不間斷工作，以至于很多時(shí)候我們會(huì)忽略它的存在，但它就靜靜的在那個(gè)角落里默默地為我們充當(dāng)數(shù)據(jù)財(cái)產(chǎn)的保險(xiǎn)箱。目前市場(chǎng)上比較知名的NAS設(shè)備有群暉、威聯(lián)通等品牌可以選擇。使用NAS來(lái)備份數(shù)據(jù)，數(shù)據(jù)的安全系數(shù)將更上一層樓。

8、日常使用規(guī)范

不管是服務(wù)器還是電腦，在我們的日常使用過(guò)程中，遵循以下操作規(guī)范，也能讓您盡可能地遠(yuǎn)離那些病毒、木馬、牛皮蘚廣告等。

（1）、外接存儲(chǔ)設(shè)備需謹(jǐn)慎

對(duì)于一些未知的外接存儲(chǔ)設(shè)備，例如U盤、移動(dòng)硬盤等，能不用就盡量不用，因?yàn)槲覀儾磺宄@些設(shè)備里面是否潛在病毒和木馬。

（2）、從正規(guī)渠道下載安裝軟件

如果需要在服務(wù)器或電腦上安裝一些軟件的話，盡可能到軟件所屬的官網(wǎng)下載安裝，或者到正規(guī)的軟件分發(fā)網(wǎng)站下載安裝（例如騰訊軟件中心，但是下載的時(shí)候別選高速下載，選普通下載就好，否則下載到的不是你要的軟件安裝包而是騰訊電腦管家的安裝包，騰訊的套路……），以防止在一些未知是否安全的網(wǎng)站上下載到不安全的軟件。如下圖所示：要謹(jǐn)防在一些網(wǎng)站上下載的惡意安裝文件：

通常文件圖標(biāo)如上圖所示且文件名中帶@的安裝文件，都是一些帶有惡意軟件的安裝包，運(yùn)行后會(huì)在電腦上安裝一大波莫名其妙的軟件，并時(shí)不時(shí)彈出各種不堪入目的牛皮蘚廣告。

（3）、不要隨意瀏覽網(wǎng)站

互聯(lián)網(wǎng)上的很多釣魚網(wǎng)站、惡意網(wǎng)站已經(jīng)為您埋下了好多的大坑，隨時(shí)恭候您的大駕光臨。

（4）、不要打開(kāi)來(lái)歷不明的郵件

這是一個(gè)垃圾郵件滿天飛的年代，如果您看到一些可疑的郵件，千萬(wàn)不要打開(kāi)，特別是郵件中的附件，它們就是病毒木馬的最佳載體。

（二）、網(wǎng)絡(luò)

1、啟用VPN

什么是VPN？VPN是虛擬局域網(wǎng)的意思，通過(guò)部署VPN進(jìn)行異地組網(wǎng)，可以將總部和所有門店虛擬為同一個(gè)局域網(wǎng)下面，這樣門店和總部的服務(wù)器進(jìn)行數(shù)據(jù)交換的時(shí)候，就不需要通過(guò)域名或者公網(wǎng)IP地址來(lái)訪問(wèn)，也就規(guī)避了服務(wù)器直接暴露在互聯(lián)網(wǎng)之下的風(fēng)險(xiǎn)。

當(dāng)前市場(chǎng)上的VPN產(chǎn)品，按部署的載體來(lái)區(qū)分主要有軟件VPN和硬件VPN兩種方案，這里也簡(jiǎn)單介紹一下：

軟件VPN：部署方式簡(jiǎn)單，只需要安裝軟件客戶端，然后借由廠家的服務(wù)器資源進(jìn)行VPN隧道連接，從而實(shí)現(xiàn)多個(gè)不同的網(wǎng)絡(luò)進(jìn)行虛擬組網(wǎng)。軟件VPN由于需要用到廠家的服務(wù)器資源，所以大多是按年和按站點(diǎn)租賃的，屬于長(zhǎng)期投入，前期投入費(fèi)用較低，但需要每年都進(jìn)行付費(fèi)，如果門店較多的話，每年也是一筆不小的開(kāi)支。

硬件VPN：和我們常見(jiàn)的路由器一樣屬于一次性買斷的設(shè)備，分別部署在總部和所有分支機(jī)構(gòu)的網(wǎng)絡(luò)里，一般都支持網(wǎng)關(guān)（替換掉原來(lái)的路由器）和橋接（級(jí)聯(lián)在路由器下）的方式去部署，視企業(yè)網(wǎng)絡(luò)規(guī)模的實(shí)際情況選擇對(duì)應(yīng)規(guī)格的產(chǎn)品型號(hào)進(jìn)行選購(gòu)，價(jià)格相對(duì)軟件VPN高點(diǎn)，但是性價(jià)比更高，維護(hù)也方便。需要注意的是，由于運(yùn)營(yíng)商現(xiàn)在加緊公網(wǎng)IP地址的回收，所以從產(chǎn)品的使用周期考慮，建議選購(gòu)帶云功能（能穿透沒(méi)有公網(wǎng)IP地址的網(wǎng)絡(luò)環(huán)境）的VPN硬件產(chǎn)品更合適。

2、慎做端口轉(zhuǎn)發(fā)

通過(guò)部署VPN之后，由于無(wú)需將服務(wù)器開(kāi)放，所以也不需要在網(wǎng)絡(luò)出口處做端口映射和DMZ的規(guī)則。但對(duì)于沒(méi)有部署VPN的用戶，只能限制端口映射和DMZ的設(shè)置，盡量不要將常用的端口映射出公網(wǎng)，更不要將服務(wù)器設(shè)置為DMZ。

結(jié)論

通過(guò)上述安全加固方案的落實(shí)，我們已經(jīng)為服務(wù)器和網(wǎng)絡(luò)環(huán)境建起了一條護(hù)城河，數(shù)據(jù)安全防護(hù)等級(jí)得到了極大的提升，這也就大大降低了被勒索病毒找上門的風(fēng)險(xiǎn)。在此我們也再次呼吁所有用戶能認(rèn)真切實(shí)地對(duì)待信息化安全并把實(shí)際方案落實(shí)到位，不給勒索病毒留下可乘之機(jī)，以免中招后再來(lái)亡羊補(bǔ)牢。

最后，分享知識(shí)是一種美德，如果您喜歡這篇文章并且它對(duì)您有所幫助或有所啟發(fā)的話，希望您可以把它分享出去，讓更多人行動(dòng)起來(lái)，一起攔截勒索病毒，謝謝！

附：本文中所提供的3個(gè)小工具，點(diǎn)擊下面的鏈接下載：

小工具合集