勒索病毒應(yīng)急響應(yīng)自救手冊(cè)全套_第1頁
勒索病毒應(yīng)急響應(yīng)自救手冊(cè)全套_第2頁
勒索病毒應(yīng)急響應(yīng)自救手冊(cè)全套_第3頁
勒索病毒應(yīng)急響應(yīng)自救手冊(cè)全套_第4頁
勒索病毒應(yīng)急響應(yīng)自救手冊(cè)全套_第5頁
已閱讀5頁,還剩24頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

勒索病毒應(yīng)急響應(yīng)自救手冊(cè)第一章常見勒索病毒種類介紹自2017年“永恒之藍(lán)”勒索事件之后,勒索病毒愈演愈烈,不同類型的變種勒索病毒層出不窮。勒索病毒傳播素以傳播方式塊,目標(biāo)性強(qiáng)著稱,傳播方式多見于利用“永恒之藍(lán)”漏洞、爆破、釣魚郵件等方式傳播。同時(shí)勒索病毒文件一旦被用戶點(diǎn)擊打開,進(jìn)入本地,就會(huì)自動(dòng)運(yùn)行,同時(shí)刪除勒索軟件樣本,以躲避查殺和分析。所以,加強(qiáng)對(duì)常見勒索病毒認(rèn)知至關(guān)重要。如果在日常工作中,發(fā)現(xiàn)存在以下特征的文件,需務(wù)必謹(jǐn)慎。由于勒索病毒種類多至上百種,因此特整理了近期流行的勒索病毒種類、特征及常見傳播方式,供大家參考了解:一、WannaCry勒索2017年5月12日,WannaCry勒索病毒全球大爆發(fā),至少150個(gè)國家、30萬名用戶中招,造成損失達(dá)80億美元。WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發(fā),感染了大量的計(jì)算機(jī),該蠕蟲感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)中植入敲詐者病毒,導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后,病毒會(huì)提示需要支付相應(yīng)贖金方可解密。常見后綴:wncry傳播方式:永恒之藍(lán)漏洞特征:啟動(dòng)時(shí)會(huì)連接一個(gè)不存在url創(chuàng)建系統(tǒng)服務(wù)mssecsvc2.0釋放路徑為Windows目錄二、GlobeImposter勒索2017年出現(xiàn),2018年8月21日起,多地發(fā)生GlobeImposter勒索病毒事件,攻擊目標(biāo)主要是開始遠(yuǎn)程桌面服務(wù)的服務(wù)器,攻擊者通過暴力破解服務(wù)器密碼,對(duì)內(nèi)網(wǎng)服務(wù)器發(fā)起掃描并人工投放勒索病毒,導(dǎo)致文件被加密多個(gè)版本更新,并常通過爆破RDP后手工投毒傳播,暫無法解密。常見后綴:auchentoshan、動(dòng)物名+4444傳播方式:RDP爆破垃圾郵件捆綁軟件特征:釋放在%appdata%或%localappdata%三、Crysis/Dharma勒索最早出現(xiàn)在2016年,在2017年5月萬能密鑰被公布之后,消失了一段時(shí)間,但在2017年6月后開始繼續(xù)更新。攻擊方法同樣是通過遠(yuǎn)程RDP爆力破解的方式,植入到用戶的服務(wù)器進(jìn)行攻擊,其加密后的文件的后綴名為.java,由于CrySiS采用AES+RSA的加密方式,最新版本無法解密。常見后綴:【id】+勒索郵箱+特定后綴傳播方式:RDP爆破特征:勒索信位置在startup目錄樣本位置在%windir%\System32Startup目錄%appdata%目錄四、GandCrab勒索2018年年初面世,作者長時(shí)間多個(gè)大版本更新,僅僅半年的時(shí)候,就連續(xù)出現(xiàn)了V1.0,V2.0,V2.1,V3.0,V4.0等變種,病毒采用Salsa20和RSA-2048算法對(duì)文件進(jìn)行加密,并修改文件后綴為.GDCB、.GRAB、.KRAB或5-10位隨機(jī)字母,并將感染主機(jī)桌面背景替換為勒索信息圖片。GandCrab5.1之前版本可解密,最新GandCrab5.2無法解密。常見后綴:隨機(jī)生成傳播方式:RDP爆破釣魚郵件捆綁軟件僵尸網(wǎng)絡(luò)漏洞傳播……特征:樣本執(zhí)行完畢后自刪除修改操作系統(tǒng)桌面背景后綴-MANUAL.txt后綴-DECRYPT.txt五、Satan勒索撒旦(Satan)勒索病毒首次出現(xiàn)2017年1月份。該勒索進(jìn)行Windows&Linux雙平臺(tái)攻擊,最新版本攻擊成功后,會(huì)加密文件并修改文件后綴為“evopro”。除了通過RDP爆破外,一般還通過多個(gè)漏洞傳播。常見后綴:evoprosick…傳播方式:永恒之藍(lán)漏洞RDP爆破JBOSS系列漏洞Tomcat系列漏洞Weblogic組件漏洞……特征:最新變種evopro暫時(shí)無法解密,老的變種可解密六、Sacrab勒索Scarab(圣甲蟲)惡意軟件于2017年6月首次發(fā)現(xiàn)。此后,有多個(gè)版本的變種陸續(xù)產(chǎn)生并被發(fā)現(xiàn)。最流行的一個(gè)版本是通過Necurs僵尸網(wǎng)絡(luò)進(jìn)行分發(fā),使用VisualC語言編寫而成,又見于垃圾郵件和RDP爆破等方式。在針對(duì)多個(gè)變種進(jìn)行脫殼之后,我們發(fā)現(xiàn)有一個(gè)2017年12月首次發(fā)現(xiàn)的變種Scarabey,其分發(fā)方式與其他變種不同,并且它的有效載荷代碼也并不相同。常見后綴:.krab.Sacrab.bomber.Crash……傳播方式:Necurs僵尸網(wǎng)絡(luò)RDP爆破垃圾郵件……特征:樣本釋放%appdata%\Roaming七、Matrix勒索目前為止變種較多的一種勒索,該勒索病毒主要通過入侵遠(yuǎn)程桌面進(jìn)行感染安裝,黑客通過暴力枚舉直接連入公網(wǎng)的遠(yuǎn)程桌面服務(wù)從而入侵服務(wù)器,獲取權(quán)限后便會(huì)上傳該勒索病毒進(jìn)行感染,勒索病毒啟動(dòng)后會(huì)顯示感染進(jìn)度等信息,在過濾部分系統(tǒng)可執(zhí)行文件類型和系統(tǒng)關(guān)鍵目錄后,對(duì)其余文件進(jìn)行加密,加密后的文件會(huì)被修改后綴名為其郵箱。常見后綴:.GRHAN.PRCP.SPCT.PEDANT…傳播方式:RDP爆破八、STOP勒索同Matrix勒索類似,Stop勒索病毒也是一個(gè)多變種的勒索木馬,一般通過垃圾郵件、捆綁軟件和RDP爆破進(jìn)行傳播,在某些特殊變種還會(huì)釋放遠(yuǎn)控木馬。常見后綴:.TRO.djvu.puma.pumas.pumax.djvuq…特征:樣本釋放在%appdata%\local\<隨機(jī)名稱>可能會(huì)執(zhí)行計(jì)劃任務(wù)九、Paradise勒索Paradise勒索最早出現(xiàn)在2018年7月下旬,最初版本會(huì)附加一個(gè)超長后綴如:(_V.{yourencrypter@protonmail.ch}.dp)到原文件名末尾,在每個(gè)包含加密文件的文件夾都會(huì)生成一個(gè)勒索信如下:而后續(xù)活躍及變種版本,采用了Crysis/Dharma勒索信樣式圖彈窗如:勒索信如下樣式加密文件后綴:文件名_%ID字符串%_{勒索郵箱}.特定后綴特征:將勒索彈窗和自身釋放到Startup啟動(dòng)目錄第二章如何判斷病情如何判斷服務(wù)器中了勒索病毒呢?勒索病毒區(qū)別于其他病毒的明顯特征:加密受害者主機(jī)的文檔和數(shù)據(jù),然后對(duì)受害者實(shí)施勒索,從中非法謀取私利。勒索病毒的收益極高,所以大家才稱之為“勒索病毒”。勒索病毒的主要目的既然是為了勒索,那么黑客在植入病毒完成加密后,必然會(huì)提示受害者您的文件已經(jīng)被加密了無法再打開,需要支付贖金才能恢復(fù)文件。所以,勒索病毒有明顯區(qū)別于一般病毒的典型特征。如果服務(wù)器出現(xiàn)了以下特征,即表明已經(jīng)中了勒索病毒。一、業(yè)務(wù)系統(tǒng)無法訪問2018年以來,勒索病毒的攻擊不再局限于加密核心業(yè)務(wù)文件;轉(zhuǎn)而對(duì)企業(yè)的服務(wù)器和業(yè)務(wù)系統(tǒng)進(jìn)行攻擊,感染企業(yè)的關(guān)鍵系統(tǒng),破壞企業(yè)的日常運(yùn)營;甚至還延伸至生產(chǎn)線——生產(chǎn)線不可避免地存在一些遺留系統(tǒng)和各種硬件難以升級(jí)打補(bǔ)丁等原因,一旦遭到勒索攻擊的直接后果就是生產(chǎn)線停產(chǎn)。比如:2018年2月,某三甲醫(yī)院遭遇勒索病毒,全院所有的醫(yī)療系統(tǒng)均無法正常使用,正常就醫(yī)秩序受到嚴(yán)重影響;同年8月,臺(tái)積電在臺(tái)灣北、中、南三處重要生產(chǎn)基地,均因勒索病毒入侵導(dǎo)致生產(chǎn)停擺。但是,當(dāng)業(yè)務(wù)系統(tǒng)出現(xiàn)無法訪問、生產(chǎn)線停產(chǎn)等現(xiàn)象時(shí),并不能100%確定是服務(wù)器感染了勒索病毒,也有可能是遭到DDoS攻擊或是中了其他病毒等原因所致,所以,還需要結(jié)合以下特征來判斷。二、電腦桌面被篡改服務(wù)器被感染勒索病毒后,最明顯的特征是電腦桌面發(fā)生明顯變化,即:桌面通常會(huì)出現(xiàn)新的文本文件或網(wǎng)頁文件,這些文件用來說明如何解密的信息,同時(shí)桌面上顯示勒索提示信息及解密聯(lián)系方式,通常提示信息英文較多,中文提示信息較少。下面為電腦感染勒索病毒后,幾種典型的桌面發(fā)生變化的示意圖。三、文件后綴被篡改服務(wù)器感染勒索病毒后,另外一個(gè)典型特征是:辦公文檔、照片、視頻等文件的圖標(biāo)變?yōu)椴豢纱蜷_形式,或者文件后綴名被篡改。一般來說,文件后綴名會(huì)被改成勒索病毒家族的名稱或其家族代表標(biāo)志,如:GlobeImposter家族的后綴為.dream、.TRUE、.CHAK等;Satan家族的后綴.satan、sicck;Crysis家族的后綴有.ARROW、.arena等。下面為電腦感染勒索病毒后,幾種典型的文件后綴名被篡改或文件圖標(biāo)變?yōu)椴豢纱蜷_的示意圖。當(dāng)我們看到上述三個(gè)現(xiàn)象的時(shí)候,說明服務(wù)器已經(jīng)遭到勒索病毒的攻擊,此時(shí),如果我們倉促的進(jìn)行不正確的處置,反而可能會(huì)進(jìn)一步擴(kuò)大自己的損失。所以,請(qǐng)保持冷靜不要驚慌失措,現(xiàn)在我們需要做的是如何最大化的減少損失,并阻止黑客繼續(xù)去攻擊其他服務(wù)器。具體操作步驟請(qǐng)見下一章。第三章如何進(jìn)行自救當(dāng)我們已經(jīng)確認(rèn)感染勒索病毒后,應(yīng)當(dāng)及時(shí)采取必要的自救措施。之所以要進(jìn)行自救,主要是因?yàn)椋旱却龑I(yè)人員的救助往往需要一定的時(shí)間,采取必要的自救措施,可以減少等待過程中,損失的進(jìn)一步擴(kuò)大。例如:與被感染主機(jī)相連的其他服務(wù)器也存在漏洞或是有缺陷,將有可能也被感染。所以,采取自救措施的目的是為了及時(shí)止損,將損失降到最低。一、正確處置方法(一)隔離中招主機(jī)處置方法當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后,應(yīng)立即隔離被感染主機(jī),隔離主要包括物理隔離和訪問控制兩種手段,物理隔離主要為斷網(wǎng)或斷電;訪問控制主要是指對(duì)訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。1)物理隔離物理隔離常用的操作方法是斷網(wǎng)和關(guān)機(jī)。斷網(wǎng)主要操作步驟包括:拔掉網(wǎng)線、禁用網(wǎng)卡,如果是筆記本電腦還需關(guān)閉無線網(wǎng)絡(luò)。2)訪問控制訪問控制常用的操作方法是加策略和修改登錄密碼。加策略主要操作步驟為:在網(wǎng)絡(luò)側(cè)使用安全設(shè)備進(jìn)行進(jìn)一步隔離,如防火墻或終端安全監(jiān)測(cè)系統(tǒng);避免將遠(yuǎn)程桌面服務(wù)(RDP,默認(rèn)端口為3389)暴露在公網(wǎng)上(如為了遠(yuǎn)程運(yùn)維方便確有必要開啟,則可通過VPN登錄后才能訪問),并關(guān)閉445、139、135等不必要的端口。修改登錄密碼的主要操作為:立刻修改被感染服務(wù)器的登錄密碼;其次,修改同一局域網(wǎng)下的其他服務(wù)器密碼;第三,修改最高級(jí)系統(tǒng)管理員賬號(hào)的登錄密碼。修改的密碼應(yīng)為高強(qiáng)度的復(fù)雜密碼,一般要求:采用大小寫字母、數(shù)字、特殊符號(hào)混合的組合結(jié)構(gòu),口令位數(shù)足夠長(15位、兩種組合以上)。處置原理隔離的目的,一方面是為了防止感染主機(jī)自動(dòng)通過連接的網(wǎng)絡(luò)繼續(xù)感染其他服務(wù)器;另一方面是為了防止黑客通過感染主機(jī)繼續(xù)操控其他服務(wù)器。有一類勒索病毒會(huì)通過系統(tǒng)漏洞或弱密碼向其他主機(jī)進(jìn)行傳播,如WannaCry勒索病毒,一旦有一臺(tái)主機(jī)感染,會(huì)迅速感染與其在同一網(wǎng)絡(luò)的其他電腦,且每臺(tái)電腦的感染時(shí)間約為1-2分鐘左右。所以,如果不及時(shí)進(jìn)行隔離,可能會(huì)導(dǎo)致整個(gè)局域網(wǎng)主機(jī)的癱瘓。另外,近期也發(fā)現(xiàn)有黑客會(huì)以暴露在公網(wǎng)上的主機(jī)為跳板,再順藤摸瓜找到核心業(yè)務(wù)服務(wù)器進(jìn)行勒索病毒攻擊,造成更大規(guī)模的破壞。當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后,應(yīng)立即隔離被感染主機(jī),防止病毒繼續(xù)感染其他服務(wù)器,造成無法估計(jì)的損失。(二)排查業(yè)務(wù)系統(tǒng)處置方法在已經(jīng)隔離被感染主機(jī)后,應(yīng)對(duì)局域網(wǎng)內(nèi)的其他機(jī)器進(jìn)行排查,檢查核心業(yè)務(wù)系統(tǒng)是否受到影響,生產(chǎn)線是否受到影響,并檢查備份系統(tǒng)是否被加密等,以確定感染的范圍。處置原理業(yè)務(wù)系統(tǒng)的受影響程度直接關(guān)系著事件的風(fēng)險(xiǎn)等級(jí)。評(píng)估風(fēng)險(xiǎn),及時(shí)采取對(duì)應(yīng)的處置措施,避免更大的危害。另外,備份系統(tǒng)如果是安全的,就可以避免支付贖金,順利的恢復(fù)文件。所以,當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后,并確認(rèn)已經(jīng)隔離被感染主機(jī)的情況下,應(yīng)立即對(duì)核心業(yè)務(wù)系統(tǒng)和備份系統(tǒng)進(jìn)行排查。(三)聯(lián)系專業(yè)人員在應(yīng)急自救處置后,建議第一時(shí)間聯(lián)系專業(yè)的技術(shù)人士或安全從業(yè)者,對(duì)事件的感染時(shí)間、傳播方式,感染家族等問題進(jìn)行排查。個(gè)人中招用戶可以:通過360安全衛(wèi)士的反勒索服務(wù),聯(lián)系專業(yè)人士。用戶在進(jìn)入“360安全衛(wèi)士”-“反勒索服務(wù)”選項(xiàng)后,需要同時(shí)開啟360文檔保護(hù)和360反勒索服務(wù)。開啟這兩項(xiàng)服務(wù)后,若您被感染勒索病毒,點(diǎn)擊“申請(qǐng)服務(wù)”按鈕即可申請(qǐng)理賠。政企機(jī)構(gòu)中招客戶可以聯(lián)系:360企業(yè)安全集團(tuán),全國400應(yīng)急熱線:4008136360轉(zhuǎn)2轉(zhuǎn)4。二、錯(cuò)誤處置方法(一)使用移動(dòng)存儲(chǔ)設(shè)備錯(cuò)誤操作當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后,在中毒電腦上使用U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備。錯(cuò)誤原理勒索病毒通常會(huì)對(duì)感染電腦上的所有文件進(jìn)行加密,所以當(dāng)插上U盤或移動(dòng)硬盤時(shí),也會(huì)立即對(duì)其存儲(chǔ)的內(nèi)容進(jìn)行加密,從而造成損失擴(kuò)大。從一般性原則來看,當(dāng)電腦感染病毒時(shí),病毒也可能通過U盤等移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行傳播。所以,當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后,切勿在中毒電腦上使用U盤、移動(dòng)硬盤等設(shè)備。(二)讀寫中招主機(jī)上的磁盤文件錯(cuò)誤操作當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后,輕信網(wǎng)上的各種解密方法或工具,自行操作。反復(fù)讀取磁盤上的文件后反而降低數(shù)據(jù)正確恢復(fù)的概率。錯(cuò)誤原理很多流行勒索病毒的基本加密過程為:1)首先,將保存在磁盤上的文件讀取到內(nèi)存中;2)其次,在內(nèi)存中對(duì)文件進(jìn)行加密;3)最后,將修改后的文件重新寫到磁盤中,并將原始文件刪除。也就是說,很多勒索病毒在生成加密文件的同時(shí),會(huì)對(duì)原始文件采取刪除操作。理論上說,使用某些專用的數(shù)據(jù)恢復(fù)軟件,還是有可能部分或全部恢復(fù)被加密文件的。而此時(shí),如果用戶對(duì)電腦磁盤進(jìn)行反復(fù)的讀寫操作,有可能破壞磁盤空間上的原始文件,最終導(dǎo)致原本還有希望恢復(fù)的文件徹底無法恢復(fù)。第四章如何恢復(fù)系統(tǒng)感染勒索病毒后,對(duì)于政企機(jī)構(gòu)來說,最重要的就是怎么恢復(fù)被加密的文件了。一般來說,可以通過歷史備份、解密工具或支付贖金來恢復(fù)被感染的系統(tǒng)。但是這三種操作都有一定的難度,因此,建議受害者不要自行操作。如果您想恢復(fù)系統(tǒng),請(qǐng)聯(lián)系專業(yè)的技術(shù)人員或安全廠商,確保贖金的支付和解密過程正確進(jìn)行,避免其他不必要的損失。政企機(jī)構(gòu)中招客戶可以聯(lián)系:360企業(yè)安全集團(tuán),全國400應(yīng)急熱線:4008136360轉(zhuǎn)2轉(zhuǎn)4。一、歷史備份還原如果事前已經(jīng)對(duì)文件進(jìn)行了備份,那么我們將不會(huì)再擔(dān)憂和煩惱??梢灾苯訌脑票P、硬盤或其他災(zāi)備系統(tǒng)中,恢復(fù)被加密的文件。值得注意的是,在文件恢復(fù)之前,應(yīng)確保系統(tǒng)中的病毒已被清除,已經(jīng)對(duì)磁盤進(jìn)行格式化或是重裝系統(tǒng),以免插上移動(dòng)硬盤的瞬間,或是網(wǎng)盤下載文件到本地后,備份文件也被加密。事先進(jìn)行備份,既是最有效也是成本最低的恢復(fù)文件的方式。二、解密工具恢復(fù)絕大多數(shù)勒索病毒使用的加密算法都是國際公認(rèn)的標(biāo)準(zhǔn)算法,這種加密方式的特點(diǎn)是,只要加密密鑰足夠長,普通電腦可能需要數(shù)十萬年才能夠破解,破解成本是極高的。通常情況,如果不支付贖金是無法解密恢復(fù)文件的。但是,對(duì)于以下三種情況,可以通過360提供的解密工具恢復(fù)感染文件。1)勒索病毒的設(shè)計(jì)編碼存在漏洞或并未正確實(shí)現(xiàn)加密算法2)勒索病毒的制造者主動(dòng)發(fā)布了密鑰或主密鑰。3)執(zhí)法機(jī)構(gòu)查獲帶有密鑰的服務(wù)器,并進(jìn)行了分享??梢酝ㄟ^網(wǎng)站(/)查詢哪些勒索病毒可以解密。例如:今年下半年大規(guī)模流行的GandCrab家族勒索病毒,GandCrabV5.0.3及以前的版本可以通過360解密大師進(jìn)行解密。需要注意的是:使用解密工具之前,務(wù)必要備份加密的文件,防止解密不成功導(dǎo)致無法恢復(fù)數(shù)據(jù)。三、專業(yè)人員代付勒索病毒的贖金一般為比特幣或其他數(shù)字貨幣,數(shù)字貨幣的購買和支付對(duì)一般用戶來說具有一定的難度和風(fēng)險(xiǎn)。具體主要體現(xiàn)在:1)統(tǒng)計(jì)顯示,95%以上的勒索病毒攻擊者來自境外,由于語言不通,容易在溝通中產(chǎn)生誤解,影響文件的解密。2)數(shù)字貨幣交付需要在特定的交易平臺(tái)下進(jìn)行,不熟悉數(shù)字貨幣交易時(shí),容易人才兩空。所以,即使支付贖金可以解密,也不建議自行支付贖金。請(qǐng)聯(lián)系專業(yè)的安全公司或數(shù)據(jù)恢復(fù)公司進(jìn)行處理,以保證數(shù)據(jù)能成功恢復(fù)。四、重裝系統(tǒng)當(dāng)文件無法解密,也覺得被加密的文件價(jià)值不大時(shí),也可以采用重裝系統(tǒng)的方法,恢復(fù)系統(tǒng)。但是,重裝系統(tǒng)意味著文件再也無法被恢復(fù)。另外,重裝系統(tǒng)后需更新系統(tǒng)補(bǔ)丁,并安裝殺毒軟件和更新殺毒軟件的病毒庫到最新版本,而且對(duì)于服務(wù)器也需要進(jìn)行針對(duì)性的防黑加固。第五章如何加強(qiáng)防護(hù)一、終端用戶安全建議對(duì)于普通終端用戶,我們給出以下建議,以幫助用戶免遭勒索病毒的攻擊:養(yǎng)成良好的安全習(xí)慣1)電腦應(yīng)當(dāng)安裝具有云防護(hù)和主動(dòng)防御功能的安全軟件,不隨意退出安全軟件或關(guān)閉防護(hù)功能,對(duì)安全軟件提示的各類風(fēng)險(xiǎn)行為不要輕易放行。2)使用安全軟件的第三方打補(bǔ)丁功能對(duì)系統(tǒng)進(jìn)行漏洞管理,第一時(shí)間給操作系統(tǒng)和IE、Flash等常用軟件打好補(bǔ)丁,定期更新病毒庫,以免病毒利用漏洞自動(dòng)入侵電腦。3)對(duì)系統(tǒng)用戶密碼及時(shí)進(jìn)行更改,并使用LastPass等密碼管理器對(duì)相關(guān)密碼進(jìn)行加密存儲(chǔ),避免使用本地明文文本的方式進(jìn)行存儲(chǔ)。系統(tǒng)相關(guān)用戶杜絕使用弱口令,同時(shí),應(yīng)該使用高復(fù)雜強(qiáng)度的密碼,8位以上盡量包含大小寫字母、數(shù)字、特殊符號(hào)等的混合密碼,加強(qiáng)運(yùn)維人員安全意識(shí),禁止密碼重用的情況出現(xiàn),并定期對(duì)密碼進(jìn)行更改。4)重要文檔數(shù)據(jù)應(yīng)經(jīng)常做備份,一旦文件損壞或丟失,也可以及時(shí)找回。減少危險(xiǎn)的上網(wǎng)操作1)不要瀏覽來路不明的色情、賭博等不良信息網(wǎng)站,這些網(wǎng)站經(jīng)常被用于發(fā)動(dòng)掛馬、釣魚攻擊。2)不要輕易打開陌生人發(fā)來的郵件附件或郵件正文中的網(wǎng)址鏈接。3)不要輕易打開后綴名為js、vbs、wsf、bat等腳本文件和exe、scr等可執(zhí)行程序,對(duì)于陌生人發(fā)來的壓縮文件包,更應(yīng)提高警惕,應(yīng)先掃毒后打開。4)電腦連接移動(dòng)存儲(chǔ)設(shè)備,如U盤、移動(dòng)硬盤等,應(yīng)首先使用安全軟件檢測(cè)其安全性。5)對(duì)于安全性不確定的文件,可以選擇在安全軟件的沙箱功能中打開運(yùn)行,從而避免木馬對(duì)實(shí)際系統(tǒng)的破壞。采取及時(shí)的補(bǔ)救措施1)安裝“360天擎”并開啟“反勒索服務(wù)”,一旦電腦被勒索病毒感染,可以通過360反勒索服務(wù)申請(qǐng)贖金賠付,以盡可能的減小自身經(jīng)濟(jì)損失。二、政企用戶安全建議1)如用戶處存在虛擬化環(huán)境,建議用戶安裝360網(wǎng)神虛擬化安全管理系統(tǒng),進(jìn)一步提升防惡意軟件、防暴力破解等安全防護(hù)能力。2)安裝天擎等終端安全軟件,及時(shí)給辦公終端打補(bǔ)丁修復(fù)漏洞,包括操作系統(tǒng)以及第三方應(yīng)用的補(bǔ)丁。3)針對(duì)政企用戶的業(yè)務(wù)服務(wù)器,除了安裝殺毒軟件還需要部署安全加固軟件,阻斷黑客攻擊。4)企業(yè)用戶應(yīng)采用足夠復(fù)雜的登錄密碼登錄辦公系統(tǒng)或服務(wù)器,并定期更換密碼,嚴(yán)格避免多臺(tái)服務(wù)器共用同一個(gè)密碼。5)限制內(nèi)網(wǎng)主機(jī)可進(jìn)行訪問的網(wǎng)絡(luò)、主機(jī)范圍。有效加強(qiáng)訪問控制ACL策略,細(xì)化策略粒度,按區(qū)域按業(yè)務(wù)嚴(yán)格限制各個(gè)網(wǎng)絡(luò)區(qū)域以及服務(wù)器之間的訪問,采用白名單機(jī)制只允許開放特定的業(yè)務(wù)必要端口,其他端口一律禁止訪問

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論