預(yù)防勒索病毒就這十招！

近期，勒索病毒再次卷土重來，我們技術(shù)部接到不少用戶的求援，反饋服務(wù)器或電腦中毒，大部分的文件（包括最重要的數(shù)據(jù)庫文件）都被加密并改名（文件名被強制增加各種五花八門的后綴），導(dǎo)致所有業(yè)務(wù)系統(tǒng)都無法正常運行。由于勒索病毒的變種迭代更新頻繁，以至于中招后要么無解，要么必須付出巨額資金去修復(fù)，數(shù)據(jù)丟失的代價實在慘重，中招的用戶直呼“太恐怖”！

在這里我們要再次呼吁一下，沒有中招的用戶切莫大意，預(yù)防措施一定要做到位，否則等到勒索病毒找上門的時候就后悔晚矣！

真實案例分享

廣州某醫(yī)藥連鎖公司近日向我們技術(shù)部求援：前臺無法打開『流通之星』ERP系統(tǒng)。在我們技術(shù)員遠(yuǎn)程協(xié)助后發(fā)現(xiàn)，用戶前臺電腦上收銀系統(tǒng)的文件結(jié)構(gòu)正常，但是無法連接服務(wù)器的數(shù)據(jù)庫，遂讓用戶檢查下服務(wù)器上的情況，發(fā)現(xiàn)服務(wù)器上的大部分文件名，都被強制加上了C1H的尾巴，這是明顯的中了勒索病毒的癥狀，如下圖用戶所拍照片所示：

經(jīng)過我們工程師的研究判定，該服務(wù)器是中了GlobeImposter勒索病毒的最新變種，目前國內(nèi)外的安全防護廠家都還沒有針對該勒索病毒的最新變種提供解密工具。

由于用戶之前沒有重視信息化安全，所以數(shù)據(jù)也沒有做好備份工作。數(shù)據(jù)庫被勒索病毒加密了，就意味著用戶經(jīng)營多年的數(shù)據(jù)全部丟失。而近期用戶又要GSP認(rèn)證，有可能連GSP認(rèn)證都無法通過，屆時店面將無法開展?fàn)I業(yè)，后果不堪設(shè)想！

面對被勒索病毒加密的數(shù)據(jù)，擺在用戶面前的只有兩種選擇：

1、向黑客繳納贖金；

2、找專業(yè)的數(shù)據(jù)恢復(fù)公司嘗試解密。

權(quán)衡利弊之后，用戶還是選擇了第二個方案，雖然將第三方數(shù)據(jù)恢復(fù)公司在收到數(shù)據(jù)庫文件后，確認(rèn)能搶救回數(shù)據(jù)的成功率高達90%，但也必須付出高額的勞務(wù)費用，并且即使恢復(fù)后也不能保證數(shù)據(jù)庫中是否還存在數(shù)據(jù)丟失的情況。即便如此，用戶也只能默默接受。

上面的案例是真實存在的，它就發(fā)生在我們的用戶群體里，并且已經(jīng)有多起這樣的事故發(fā)生，數(shù)據(jù)丟失的嚴(yán)重后果，讓人觸目驚心！

勒索病毒簡介

說起勒索病毒就不得不提2017年5月WannaCry利用“永恒之藍(lán)”漏洞肆虐全球的事件，也是從這個時間起，人們才真正聽說、了解、認(rèn)識到相比傳統(tǒng)的病毒木馬，“勒索病毒”才是真正令人談“毒”色變、防不勝防的攻擊手段。

直至今天，各類新增的勒索病毒和變種依舊層出不窮，入侵方式也變的多種多樣。

預(yù)防方案

我們整理了一份預(yù)防勒索病毒預(yù)防加固方案供廣大用戶參考，希望大家能對數(shù)據(jù)安全這個課題認(rèn)真對待，同時也根據(jù)方案檢查下自家的整套IT基礎(chǔ)架構(gòu)是否存在各類安全隱患，有則改之，不要給勒索病毒留下任何入侵的機會。

整套預(yù)防方案主要針對服務(wù)器和網(wǎng)絡(luò)這兩部分共10個方法展開，具體如下圖所示：

（點擊圖片可放大觀看）

（一）、服務(wù)器

作為企業(yè)信息化業(yè)務(wù)系統(tǒng)的核心，服務(wù)器的安全是重中之重。但我們發(fā)現(xiàn)有一些用戶，也許是出于節(jié)約成本的原因，現(xiàn)在仍然在使用普通的電腦充當(dāng)業(yè)務(wù)系統(tǒng)的服務(wù)器，這樣其實是存在著巨大的風(fēng)險的。

我們知道，專業(yè)的服務(wù)器是專門用于7*24小時不間斷運作的，所以服務(wù)器里面的所有部件，都是針對這一場景進行設(shè)計研發(fā)生產(chǎn)的，因而服務(wù)器的質(zhì)量和壽命要比普通電腦強很多，一般用個5到10年都是不成問題的。

而且專業(yè)的服務(wù)器最核心的地方在于可以支持磁盤陣列，通過磁盤陣列，可以將數(shù)據(jù)存儲到多個硬盤中做冗余處理，哪怕其中一個硬盤出現(xiàn)物理性故障，只要及時將壞掉的硬盤換新就能繼續(xù)同步數(shù)據(jù)，這樣是不會影響到服務(wù)器的正常運作的。所以專業(yè)服務(wù)器在安全性和穩(wěn)定性上，普通電腦是難以望其項背的，即使現(xiàn)在有些高端的電腦主板也開始支持磁盤陣列了，但基本上也都是基于軟件算法去實現(xiàn)的（俗稱軟陣列），其性能和安全性根本無法得到保障。所以當(dāng)您想通過普通電腦代替服務(wù)器以節(jié)約成本的時候，請牢記一點：設(shè)備有價，數(shù)據(jù)無價！

另外還有部分用戶，雖然已經(jīng)購買了專業(yè)的服務(wù)器，但是在使用上也存在誤區(qū)，他們覺得這臺服務(wù)器就是一臺價格貴一點的電腦而已，平時還會拿服務(wù)器來辦公、上網(wǎng)等。其實這本身就是一種資源濫用，同時也給服務(wù)器帶來了各種安全隱患，因為我們操作電腦的時候有時候難免會出現(xiàn)一些誤操作，導(dǎo)致電腦中毒、重要文件被誤刪、系統(tǒng)崩潰等，而這樣的事情如果發(fā)生在服務(wù)器上，后果不堪設(shè)想。所以盡可能地，就讓服務(wù)器靜靜地呆在機柜或者機房里，讓它去專心地做好業(yè)務(wù)系統(tǒng)的支撐服務(wù)工作就好。

下面就圍繞服務(wù)器的安全防護提出我們的幾點建議：

1、杜絕弱口令密碼

將服務(wù)器操作系統(tǒng)的登錄密碼復(fù)雜化并保管好，千萬不要為了方便就把Administrator賬號的密碼設(shè)置為空，同時最好能做到定期修改密碼，這樣可以有效杜絕病毒通過遠(yuǎn)程的方式入侵。

2、及時修復(fù)系統(tǒng)相關(guān)安全漏洞

首先，服務(wù)器操作系統(tǒng)的選型，盡可能使用版本更新的操作系統(tǒng)，像Windows Server 2003 R2和Windows Server 2008 R2都是比較老的操作系統(tǒng)了，生命周期已經(jīng)或即將結(jié)束，微軟在這些產(chǎn)品生命周期結(jié)束后也不會再提供漏洞修復(fù)支持了，那么這些操作系統(tǒng)的安全漏洞肯定就比較多。

其次，即使服務(wù)器使用最新版本的Windows Server 2019，也必須及時打好補丁修復(fù)漏洞，不要把系統(tǒng)自帶的自動更新功能關(guān)閉。

3、安裝安全防護軟件

雖然Windows本身有自帶了防火墻，但是相對比較弱雞，這個時候我們可以搭配安全系數(shù)更高的第三方防火墻來為服務(wù)器保駕護航，這里我們建議用【火絨安全軟件】。在當(dāng)下浮躁的軟件市場，【火絨安全軟件】就是一股清流，它不像某數(shù)字安全管家、某鵝廠的電腦管家和某山衛(wèi)士一樣，為了一些利益經(jīng)常無故自動為電腦安裝各種雜七雜八的軟件，同時也不會老在桌面上彈出那些亂七八糟的彈窗廣告。相反，安裝好火絨之后，它就靜悄悄地躺在系統(tǒng)托盤的角落里，像一個隱世高手，平時根本感覺不到它的存在，但是它一直在背后默默守護著服務(wù)器的安全，還能將所有的彈窗廣告進行攔截屏蔽，這樣的良心軟件絕對是有口皆碑的典范。

在這里要提醒的一點事，在安裝好各類安全軟件后，建議將『流通之星』的安裝文件夾添加到安全軟件的信任白名單中，避免軟件被誤判為病毒遭到誤殺。這里以【火絨安全軟件】為例進行演示：

4、禁止網(wǎng)絡(luò)共享

在服務(wù)器上開通Guest來賓賬戶和網(wǎng)絡(luò)共享，無疑就是在為勒索病毒的入侵打開了一個后門，所以必須禁止Guest來賓賬戶和關(guān)閉Windows默認(rèn)共享和共享服務(wù)。

(1)、禁止Guest來賓賬戶的方法：

這里以Windows Server 2008 R2為例進行演示：

(2)、關(guān)閉Windows默認(rèn)共享和共享服務(wù)的方法：

關(guān)閉Windows默認(rèn)共享設(shè)置的方法很多，這里以Windows Server 2008 R2關(guān)閉Server服務(wù)的方法來舉例：

打開運行窗口，輸入services.msc，點確定，右側(cè)找到server服務(wù)選項，雙擊它，先點擊【停止】按鈕，再將啟動類型改為【禁用】。

5、修改常用服務(wù)端口號

一般服務(wù)器上比較常用的服務(wù)主要是遠(yuǎn)程桌面和SQL數(shù)據(jù)庫，其他的服務(wù)包括Web、FTP等，需要根據(jù)實際的使用情況進行修改，然后再在【W(wǎng)indows高級防火墻】里面做對應(yīng)的準(zhǔn)入放行規(guī)則，這樣可以大大提高服務(wù)器的安全防護級別。這里就以遠(yuǎn)程桌面為例進行相應(yīng)的介紹。

遠(yuǎn)程桌面是勒索病毒滲透入侵的主要手段，如非必要，請不要在公網(wǎng)上直接將服務(wù)器的遠(yuǎn)程桌面端口進行開放（默認(rèn)為TCP協(xié)議的3389端口），要開放前將服務(wù)器的遠(yuǎn)程桌面默認(rèn)端口號進行修改。

這里我們提供一個小工具——【遠(yuǎn)程桌面端口一鍵修改】，只需填寫您想修改好的端口號，然后確認(rèn)后重啟下服務(wù)器就好了。這個小工具在修改好端口號后，還會將該端口號自動添加到Windows高級防火墻里面的準(zhǔn)入規(guī)則，可以幫您省去了自己添加防火墻規(guī)則的麻煩。

另外，關(guān)于SQL的端口號修改請百度搜索一下，這里不再介紹。

6、啟用防火墻

（1）這里以Windows Server 2008 R2為例，演示如何打開【W(wǎng)indows防火墻】：

（2）開啟防火墻后，針對需要開放的端口?？梢栽诟呒塛indows防火墻的入站規(guī)則中添加相應(yīng)的端口準(zhǔn)入規(guī)則。對于『流通之星』的用戶，也可以使用我們提供的【添加防火墻入站規(guī)則】小工具，操作更方便。

（3）對于勒索病毒最喜歡的幾個端口，我們還提供了一個【預(yù)防勒索病毒加固工具】，一鍵操作就可以將幾個高危端口進行禁止。

7、數(shù)據(jù)備份

信息化系統(tǒng)的業(yè)務(wù)數(shù)據(jù)，它的重要性對于企業(yè)來說不言而喻，前面我們鋪墊了那么多安全防護的方法，最終的目的，就是為了要保護好這些業(yè)務(wù)數(shù)據(jù)，那如何做到萬無一失呢？那就是數(shù)據(jù)備份！只有做好數(shù)據(jù)備份工作，我們才能提前對未知的安全隱患進行隔離。鑒于業(yè)務(wù)數(shù)據(jù)對于企業(yè)用戶的重要性，所以再怎么強調(diào)數(shù)據(jù)備份的重要性都不為過。在這里我們也將常見的幾種數(shù)據(jù)備份方法提供如下：

（1）本地備份

通過SQL數(shù)據(jù)庫自帶的自動作業(yè)系統(tǒng)，定時將業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫備份到服務(wù)器的某個指定的專門用于存儲數(shù)據(jù)庫備份文件的文件夾，例如可以設(shè)置為每天的凌晨2點進行自動備份（和正常辦公時間錯開）。

（2）異地備份

不定期將上面步驟備份好的數(shù)據(jù)庫文件，復(fù)制到專門用于存儲備份數(shù)據(jù)的移動硬盤或者其他的服務(wù)器、電腦上進行異地備份，這樣做的好處是，萬一服務(wù)器出現(xiàn)物理性故障的時候（主要是硬盤出現(xiàn)故障的時候），我們手里還有額外的備份。

這里需要注意的一點是，如果是使用移動硬盤進行備份電話，切記不要為了圖省事，就將移動硬盤一直插在服務(wù)器上，因為如果服務(wù)器中毒了，會第一時間感染到服務(wù)器上的所有硬盤分區(qū)，移動硬盤也不能幸免。所以備份好數(shù)據(jù)后就得把移動硬盤從服務(wù)器上拔掉。

（3）云備份

有了本地備份和異地備份后，還有一個加強版的云備份。云備份可以說是異地備份的升級版，畢竟異地備份用的移動硬盤也好，其他服務(wù)器或電腦也好，相對安全系數(shù)還不是特別的高。極端情況下，萬一用戶所在整個局域網(wǎng)都中了病毒，那么有可能存儲備份數(shù)據(jù)的另外一臺服務(wù)器或電腦也很可能一起淪陷。這個時候我們就可以考慮啟用云備份。

云備份可以分公有云備份和私有云備份。

公有云備份就是購買百度企業(yè)網(wǎng)盤、阿里云網(wǎng)盤、堅果云等互聯(lián)網(wǎng)云存儲服務(wù)，然后將備份好的數(shù)據(jù)備份到這些互聯(lián)網(wǎng)云存儲服務(wù)上；

如果您對業(yè)務(wù)數(shù)據(jù)傳上公有云有隱私方面的考慮的話，那可以選擇私有云備份，像上面第二點提到的，將備份好的數(shù)據(jù)庫備份到其他服務(wù)器或電腦上其實也算私有云的一種形式。但在這里我們推薦使用一種更專業(yè)的方法，就是在局域網(wǎng)內(nèi)搭建NAS進行私有云備份。

NAS是什么？NAS是網(wǎng)絡(luò)附屬存儲的意思，實際上就是連接至網(wǎng)絡(luò)的存儲設(shè)備，通過NAS來備份數(shù)據(jù)的好處是顯而易見的，它占用空間小、耗電量低，關(guān)鍵是它能和服務(wù)器一樣支持磁盤陣列，24小時不間斷工作，以至于很多時候我們會忽略它的存在，但它就靜靜的在那個角落里默默地為我們充當(dāng)數(shù)據(jù)財產(chǎn)的保險箱。目前市場上比較知名的NAS設(shè)備有群暉、威聯(lián)通等品牌可以選擇。使用NAS來備份數(shù)據(jù)，數(shù)據(jù)的安全系數(shù)將更上一層樓。

8、日常使用規(guī)范

不管是服務(wù)器還是電腦，在我們的日常使用過程中，遵循以下操作規(guī)范，也能讓您盡可能地遠(yuǎn)離那些病毒、木馬、牛皮蘚廣告等。

（1）、外接存儲設(shè)備需謹(jǐn)慎

對于一些未知的外接存儲設(shè)備，例如U盤、移動硬盤等，能不用就盡量不用，因為我們不清楚這些設(shè)備里面是否潛在病毒和木馬。

（2）、從正規(guī)渠道下載安裝軟件

如果需要在服務(wù)器或電腦上安裝一些軟件的話，盡可能到軟件所屬的官網(wǎng)下載安裝，或者到正規(guī)的軟件分發(fā)網(wǎng)站下載安裝（例如騰訊軟件中心，但是下載的時候別選高速下載，選普通下載就好，否則下載到的不是你要的軟件安裝包而是騰訊電腦管家的安裝包，騰訊的套路……），以防止在一些未知是否安全的網(wǎng)站上下載到不安全的軟件。如下圖所示：要謹(jǐn)防在一些網(wǎng)站上下載的惡意安裝文件：

通常文件圖標(biāo)如上圖所示且文件名中帶@的安裝文件，都是一些帶有惡意軟件的安裝包，運行后會在電腦上安裝一大波莫名其妙的軟件，并時不時彈出各種不堪入目的牛皮蘚廣告。

（3）、不要隨意瀏覽網(wǎng)站

互聯(lián)網(wǎng)上的很多釣魚網(wǎng)站、惡意網(wǎng)站已經(jīng)為您埋下了好多的大坑，隨時恭候您的大駕光臨。

（4）、不要打開來歷不明的郵件

這是一個垃圾郵件滿天飛的年代，如果您看到一些可疑的郵件，千萬不要打開，特別是郵件中的附件，它們就是病毒木馬的最佳載體。

（二）、網(wǎng)絡(luò)

1、啟用VPN

什么是VPN？VPN是虛擬局域網(wǎng)的意思，通過部署VPN進行異地組網(wǎng)，可以將總部和所有門店虛擬為同一個局域網(wǎng)下面，這樣門店和總部的服務(wù)器進行數(shù)據(jù)交換的時候，就不需要通過域名或者公網(wǎng)IP地址來訪問，也就規(guī)避了服務(wù)器直接暴露在互聯(lián)網(wǎng)之下的風(fēng)險。

當(dāng)前市場上的VPN產(chǎn)品，按部署的載體來區(qū)分主要有軟件VPN和硬件VPN兩種方案，這里也簡單介紹一下：

軟件VPN：部署方式簡單，只需要安裝軟件客戶端，然后借由廠家的服務(wù)器資源進行VPN隧道連接，從而實現(xiàn)多個不同的網(wǎng)絡(luò)進行虛擬組網(wǎng)。軟件VPN由于需要用到廠家的服務(wù)器資源，所以大多是按年和按站點租賃的，屬于長期投入，前期投入費用較低，但需要每年都進行付費，如果門店較多的話，每年也是一筆不小的開支。

硬件VPN：和我們常見的路由器一樣屬于一次性買斷的設(shè)備，分別部署在總部和所有分支機構(gòu)的網(wǎng)絡(luò)里，一般都支持網(wǎng)關(guān)（替換掉原來的路由器）和橋接（級聯(lián)在路由器下）的方式去部署，視企業(yè)網(wǎng)絡(luò)規(guī)模的實際情況選擇對應(yīng)規(guī)格的產(chǎn)品型號進行選購，價格相對軟件VPN高點，但是性價比更高，維護也方便。需要注意的是，由于運營商現(xiàn)在加緊公網(wǎng)IP地址的回收，所以從產(chǎn)品的使用周期考慮，建議選購帶云功能（能穿透沒有公網(wǎng)IP地址的網(wǎng)絡(luò)環(huán)境）的VPN硬件產(chǎn)品更合適。

2、慎做端口轉(zhuǎn)發(fā)

通過部署VPN之后，由于無需將服務(wù)器開放，所以也不需要在網(wǎng)絡(luò)出口處做端口映射和DMZ的規(guī)則。但對于沒有部署VPN的用戶，只能限制端口映射和DMZ的設(shè)置，盡量不要將常用的端口映射出公網(wǎng)，更不要將服務(wù)器設(shè)置為DMZ。

結(jié)論

通過上述安全加固方案的落實，我們已經(jīng)為服務(wù)器和網(wǎng)絡(luò)環(huán)境建起了一條護城河，數(shù)據(jù)安全防護等級得到了極大的提升，這也就大大降低了被勒索病毒找上門的風(fēng)險。在此我們也再次呼吁所有用戶能認(rèn)真切實地對待信息化安全并把實際方案落實到位，不給勒索病毒留下可乘之機，以免中招后再來亡羊補牢。

最后，分享知識是一種美德，如果您喜歡這篇文章并且它對您有所幫助或有所啟發(fā)的話，希望您可以把它分享出去，讓更多人行動起來，一起攔截勒索病毒，謝謝！

附：本文中所提供的3個小工具，點擊下面的鏈接下載：

小工具合集