企業用户成勒索病毒主要攻擊對象 多數攻擊來自國外

日前，360互聯網安全中心發佈《2017勒索軟件威脅形勢分析報告》(以下簡稱：報告)。報告分析了2017年勒索病毒的特點和趨勢，指出2017年約15%的勒索軟件攻擊是針對中小企業服務器發起的定向攻擊。從攻擊源頭看，絕大多數的勒索軟件攻擊者基本都是境外攻擊者，且病毒技術水平偏高。報告還分析了企業級終端防禦技術，併為廣大企業用户提供了防範勒索病毒攻擊的安全建議。

中小企業成為勒索病毒重點攻擊對象

在即將結束的2017年中，勒索病毒呈現出全球蔓延的態勢。攻擊者通過電子郵件、網絡滲透、蠕蟲病毒等多種形式，向受害者的電腦終端或服務器發起攻擊，加密系統文件並勒索贖金。尤其是席捲全球的永恆之藍和Petya勒索病毒，讓全球眾多政府、教育、醫療、能源、通信等關鍵基礎設施遭受重大損失。

與以往攻擊目標不同，越來越多的攻擊者將中小企業鎖定為攻擊對象。相對與普通用户的個人電腦而言，企業服務器的數據包含了珍貴的商業機密，一旦他們遭受攻擊，就意味着海量機密數據無法恢復，因此，企業用户為了避免蒙受更大損失，只好乖乖向勒索者支付贖金。

比如針對Linux服務器的勒索軟件Rrebus，雖然名氣不大，卻輕鬆從韓國Web託管公司Nayana收取了100萬美元贖金，是永恆之藍勒索病毒全部收入的7倍之多。Nayana所以屈服，是因為超150台服務器受到攻擊，上面託管着3400多家中小企業客户的站點。

另據360威脅情報中心監測發現：國內不同行業政企機構遭受勒索軟件攻擊的情況不盡相同。能源行業是遭受攻擊最多的行業，佔比為42.1%，其次為醫療行業為22.8%，金融行業為17.8%。

絕大多數勒索病毒攻擊者來自境外

此外，報告還分析了2017年勒索病毒的全新特徵。目前，勒索軟件已經不再是黑客單打獨鬥的產物，而是做成平台化的上市服務，形成了一個完整的產業鏈條。在勒索軟件服務平台上，勒索軟件的核心技術已經直接打包封裝好了，小黑客直接購買調用其服務，即可得到一個完整的勒索軟件。

從攻擊源頭看，絕大多數的勒索軟件攻擊者基本都是境外攻擊者，主要原因在於國內攻擊者技術水平相對較低。有些國內攻擊者編寫的勒索軟件程序甚至存在很多漏洞，因此也更容易被破解。比如國內攻擊者製作的MCR勒索病毒，可以直接通過密鑰恢復文件。

雲端免疫和密碼管理是企業用户應對勒索病毒攻擊的主要技術

不難看出，企業級用户應對勒索病毒攻擊的形勢不容樂觀。當前，企業級終端防禦技術主要分為雲端免疫技術和密碼保護技術兩種。

所謂雲端免疫是通過終端安全管理系統，由雲端直接下發免疫策略或補丁，幫助用户電腦做防護或打補丁;對於無法打補丁的電腦終端，免疫工具下發的免疫策略本身也具有較強的定向防護能力，可以阻止特定病毒的入侵;除此之外，雲端還可以直接升級本地的免疫庫或免疫工具，保護用户的電腦安全。

鑑於很多企業IT管理員設置的管理密碼為弱密碼，攻擊者很容易獲取，因此，加強登陸密碼的安全管理也是一種必要的反勒索技術。

具體來看，包括採用弱密碼檢驗技術，強制網絡管理員使用複雜密碼;採用反暴力破解技術，對於陌生IP的登陸位置和登陸次數進行嚴格控制;採用VPN或雙因子認證技術，從而使攻擊者即便盜取了管理員帳號和密碼，也無法輕易的登陸企業服務器。

360天擎用户勒索病毒0感染

基於上述分析，報告為企業用户提供了安全建議，包括通過對抗式演習，持續提升企業對抗新興威脅的能力;及時給辦公終端和服務器打補丁修復漏洞，包括操作系統以及第三方應用的補丁;如果沒有使用的必要，應儘量關閉不必要的常見網絡端口，比如：445、3389等。

企業用户應採用足夠複雜的登錄密碼登陸辦公系統或服務器，並定期更換密碼。要做好重要數據和文件的及時備份。提高安全運維人員職業素養。

值得一提的是：自2016年9月，360企業安全向所有360天擎政企用户免費推出的敲詐先賠服務，在360公司百億級別安全大數據分析的基礎上，依託於免疫、QVM機器學習引擎和行為識別等方式，以及獨家推出的“文檔防護功能”，對勒索軟件進行全面的防禦和攔截，已經幫助政企用户抵擋住了勒索軟件的一輪又一輪攻擊。