一、勒索软件态势分析

勒索软件将近有30年的发展历史，在这30年中勒索攻击技术也在不段升级更新，我们可以将这段历史大致分为三个阶段：萌芽期、活跃期、高发期。

二、勒索软件常见技术分析

1. 攻击阶段 勒索软件在攻击目标时最开始获取权限的手段通 常为WEB漏洞、端口爆破、社会工程学三种方式。

2. 内网横向阶段 勒索软件在传播过程中主要基于RDP 远程桌面协 议、SSH 协议、SMB 协议、IPC 协议、及域内 GPO 组 策略等方式传播，其中 RDP 远程桌面协议、SSH 协议、 SMB 协议较为常见。

3. 勒索软件加密方式分析 不同的勒索软件分别使用了不同的加密算法加密 文件，基本涉及到的加密算法有 RSA、AES、ECDH、 ChaCHA20、Salsa20，一般采用两种加密方式进行加密， 如：RSA+AES、ECDH+ChaCha20 等。

三、勒索软件防范措施

1. 资产管理

（1）资产台账 针对内部所有设备，从主机 IP/网段、系统版本、 部署位置、承载服务、责任人、联系方式等维度，建立 资产台账，便于资产的统筹分配以及快速定位。

（2）互联网映射 检查负载均衡（AD）、防火墙（AF）的互联网映 射策略，收缩边缘资产，禁止将测试（不成熟）业务、 不必要业务映射至互联网，收敛互联网暴露面，避免遭受更大范围的攻击。

（3）弱口令巡检 定期开展弱口令巡检，通过安全态势感知（SIP） 的弱口令感知模块，或生成社工弱口令尝试扫描，定期 检查网络环境中弱口令状况。 使密码复杂度在符合“四分之三”原则基础之上，摒弃具有明显身份特征或社工特征的密码。

（4）收敛应用层资产威胁 定期使用终端防护软件（CWPP）或终端防护软件（EDR），监测应用层端口开放、账户信息、主机服务、 web框架等内容。杜绝危险端口开放、隐藏账户或异常账户新增、异 常服务、异常进程或脆弱web框架等潜在威胁。

2. 风险管理

（1）网络安全自查 积极开展网络安全自查，开展基线检查和风险评估，对圈定的、优先级较高的检查项进行重点关注。不断自查，检视问题，提升软件层面抵抗风险能力。

（2）完善应急预案 提升理论和流程方面抗风险能力。

（3）组织应急演练 结合单位实际情况，设计不同场景的应急处置环境， 模拟不同突发情况下的应急处置流程，反复锻炼并提升 应急的实践及协作水平，提升应急处置的抗风险能力。

3. 网络设备配置 各项网络设备、安全设备升级到最新版本，将特征 库、病毒库更新到最新。负载均衡（AD）、防火墙（AF）等出口设备，严 格控制映射策略。内网及外网防火墙，封堵 445、135-139、3389 等敏感端口。安全感知设备，可开启弱密码感知策略，定期收集 弱密码。交换机、路由器做好网段划分，逻辑隔离。 终端杀毒软件，定期开展病毒扫描。

4. 备份管理 日常管理、生产、运维工作中，为抵御勒索软件的 攻击，防止因意外情况导致系统被加密，需定期对网络 环境中的数据、日志、应用等资料进行备份，增加网络 环境的容错性，以应对突发情况导致的数据篡改、破坏 或丢失，备份方式包括全量备份、差异备份、增量备份等。

（1）数据备份 敏感数据定期备份，尤其是承载用户数据、重要生 产数据。可选择增量备份、全量备份等形式，便于数据 的回溯。 存储数据的介质需满足可用性、可靠性要求，妥善 存放。

（2）日志备份 网络环境中部署的各大终端、服务器、应用程序， 应及时做好日志记录和备份留存，且应至少留存 6 个月日志记录。

（3）应用备份 对应用的代码、包、配置环境等项目材料进行备份。

5. 完善流程 安全、高效的生产和管理工作，离不开健全的流程 制度。为协助单位企业有可落地可参考的流程制度，打通生产到管理等各个环节的枢纽，各单位企业内部需尽 量完善一系列流程，如指导运维工作的运维规章制度、指导安全生产的流程规章制度、应用 PDCERF 方法学 的应急响应预案等。

6. 加强安全意识 安全生产最大的隐患在于人员，钓鱼、社工、投毒、弱密码这些关键因素都与人员的安全意识息息相关。要做好整体的安全加固和防御能力提升，就要切实提升人 员的安全意识。 针对高管、生产、运维或全员群体，可通过安全讲 座、案例分析，不定时开展不同场景不同方式的钓鱼演练，铸就单位企业内部安全防护的高墙。