企业用户成勒索病毒主要攻击对象 多数攻击来自国外

原标题：企业用户成勒索病毒主要攻击对象 多数攻击来自国外

日前，360互联网安全中心发布《2017勒索软件威胁形势分析报告》（以下简称：报告）。报告分析了2017年勒索病毒的特点和趋势，指出2017年约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击。从攻击源头看，绝大多数的勒索软件攻击者基本都是境外攻击者，且病毒技术水平偏高。报告还分析了企业级终端防御技术，并为广大企业用户提供了防范勒索病毒攻击的安全建议。

中小企业成为勒索病毒重点攻击对象

在即将结束的2017年中，勒索病毒呈现出全球蔓延的态势。攻击者通过电子邮件、网络渗透、蠕虫病毒等多种形式，向受害者的电脑终端或服务器发起攻击，加密系统文件并勒索赎金。尤其是席卷全球的永恒之蓝和Petya勒索病毒，让全球众多政府、教育、医疗、能源、通信等关键基础设施遭受重大损失。

与以往攻击目标不同，越来越多的攻击者将中小企业锁定为攻击对象。相对与普通用户的个人电脑而言，企业服务器的数据包含了珍贵的商业机密，一旦他们遭受攻击，就意味着海量机密数据无法恢复，因此，企业用户为了避免蒙受更大损失，只好乖乖向勒索者支付赎金。

比如针对Linux服务器的勒索软件Rrebus，虽然名气不大，却轻松从韩国Web托管公司Nayana收取了100万美元赎金，是永恒之蓝勒索病毒全部收入的7倍之多。Nayana所以屈服，是因为超150台服务器受到攻击，上面托管着3400多家中小企业客户的站点。

另据360威胁情报中心监测发现：国内不同行业政企机构遭受勒索软件攻击的情况不尽相同。能源行业是遭受攻击最多的行业，占比为42.1%，其次为医疗行业为22.8%，金融行业为17.8%。

绝大多数勒索病毒攻击者来自境外

此外，报告还分析了2017年勒索病毒的全新特征。目前，勒索软件已经不再是黑客单打独斗的产物，而是做成平台化的上市服务，形成了一个完整的产业链条。在勒索软件服务平台上，勒索软件的核心技术已经直接打包封装好了，小黑客直接购买调用其服务，即可得到一个完整的勒索软件。

从攻击源头看，绝大多数的勒索软件攻击者基本都是境外攻击者，主要原因在于国内攻击者技术水平相对较低。有些国内攻击者编写的勒索软件程序甚至存在很多漏洞，因此也更容易被破解。比如国内攻击者制作的MCR勒索病毒，可以直接通过密钥恢复文件。

云端免疫和密码管理是企业用户应对勒索病毒攻击的主要技术

不难看出，企业级用户应对勒索病毒攻击的形势不容乐观。当前，企业级终端防御技术主要分为云端免疫技术和密码保护技术两种。

所谓云端免疫是通过终端安全管理系统，由云端直接下发免疫策略或补丁，帮助用户电脑做防护或打补丁；对于无法打补丁的电脑终端，免疫工具下发的免疫策略本身也具有较强的定向防护能力，可以阻止特定病毒的入侵；除此之外，云端还可以直接升级本地的免疫库或免疫工具，保护用户的电脑安全。

鉴于很多企业IT管理员设置的管理密码为弱密码，攻击者很容易获取，因此，加强登陆密码的安全管理也是一种必要的反勒索技术。

具体来看，包括采用弱密码检验技术，强制网络管理员使用复杂密码；采用反暴力破解技术，对于陌生IP的登陆位置和登陆次数进行严格控制；采用VPN或双因子认证技术，从而使攻击者即便盗取了管理员帐号和密码，也无法轻易的登陆企业服务器。

360天擎用户勒索病毒0感染

基于上述分析，报告为企业用户提供了安全建议，包括通过对抗式演习，持续提升企业对抗新兴威胁的能力；及时给办公终端和服务器打补丁修复漏洞，包括操作系统以及第三方应用的补丁；如果没有使用的必要，应尽量关闭不必要的常见网络端口，比如：445、3389等。

企业用户应采用足够复杂的登录密码登陆办公系统或服务器，并定期更换密码。要做好重要数据和文件的及时备份。提高安全运维人员职业素养。

值得一提的是：自2016年9月，360企业安全向所有360天擎政企用户免费推出的敲诈先赔服务，在360公司百亿级别安全大数据分析的基础上，依托于免疫、QVM机器学习引擎和行为识别等方式，以及独家推出的“文档防护功能”，对勒索软件进行全面的防御和拦截，已经帮助政企用户抵挡住了勒索软件的一轮又一轮攻击。