一、勒索病毒的概述

  目前徐州市某些高校已经出现被勒索病毒感染的现象，以下针对勒索病毒做简单的描述并介绍相应的防范措施。

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马、漏洞利用等形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。

个人电脑或虚拟机感染勒索病毒文件后，病毒会在主机上自动运行程序，遍历本地所有磁盘文件，利用各种加密算法对文件进行加密，加密后导致文件无法读取，然后生成勒索通知，被感染者必须拿到密码才有可能破解。勒索者要求受害者在规定时间内支付赎金才能恢复数据，赎金形式包括真实货币、比特币或其它虚拟货币，否则将销毁。

2018年Verzion数据泄露调查报告中指出，勒索病毒占据威胁事件的前五名，且勒索事件正在逐年增长，被攻击行业占比如下：

二、勒索病毒类型和传播途径

通过调研，目前高校勒索攻击的病毒主要有WannaCry、Satan、GandGrab、GlobeImposter、RushQL等。

勒索病毒攻击通常会结合钓鱼邮件、网页挂马、漏洞利用、RDP暴力破解、SSH暴力破解、Tomcat后台登录暴力破解、数据库暴力破解、C&C僵尸网络连接、移动存储设备等多种攻击方式进行渗透，渗透成功后，便开始加PC核心关键数据，同时使用暴力破解、漏洞利用、弱口令利用等手段在网络中传播扩散。

三、勒索病毒的防范措施

3.1 目前网络与信息中心已经采取的措施

1）针对数据中心内部所有服务关闭了 135 136 137 138 445端口；

2）使用防火墙、IPS（入侵防御）和WAF（网站应用级入侵防御系统）对访问数据中心的流量进行清洗，上述设备只能根据特征库做威胁防范，但对目前最新的变种勒索病毒将无法防护，请各单位知晓；

3）使用Web资产管理、IDS设备对数据中心所有应用服务每周定期扫描，及时发现各单位的漏洞；

4）逐步清理校内的僵尸网站。

3.2 针对勒索病毒各单位注意事项：

1）根据网络与信息中心提供的漏洞报告，及时整改自己所管理的虚拟机；

2）定期对本地和异地的数据文件进行备份；

3）各单位自行购买EDR防病毒软件。