背景：

近年来勒索病毒的爆发，勒索软件攻击事件频有发生，国内大量高校、医院，甚至是认为网络隔离做得很好的单位也被病毒感染。感受影响的组织和造成损失无法估量。

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

勒索软件（Radsomware）是通过网络勒索金钱的常用方法，它是一种网络攻击行为，可以立即锁定目标用户的文件、应用程序、数据库信息和业务系统相关的重要信息，直到受害者支付赎金才能通过攻击者提供的密钥恢复访问。

关于勒索病毒的传播方式：

解决方案

防勒索系统采用主动防护的模式，利用底层驱动技术，监控所有进程的写操作，对文件的“写”操作判断，对于非法写操作进行阻断。通过控制文件的“写”权限，从而对勒索病毒的写操作进行控制，就算被植入勒索病毒，勒索病毒也无法对文件进行加密，就能保证该办公电脑或者服务器彻底免除勒索病毒的困扰。通过白名单机制监控所有进程，精准识别文件的操作行为，确保只有被允许的合法操作才能被执行，避免勒索病毒对文件加密和修改。即使业务系统未及时安装补丁，可防止漏洞被利用进行勒索加密。

防勒索系统分为后台管理中心和前端代理。

后台管理中心：用来下发终端安全策略，状态监控，日志收集，分析等，部署在企业的服务器上，需要有固定的IP地址，保证能与终端能联网访问。

终端客户端：来保护目标机器免遭勒索软件的侵害，通过配置策略，只有某些应用程序具有”写“权限。如，对*.docx、*.xlsx等文件，限制只有office和WPS有写权限，其他软件（含勒索软件）不能篡改。

应用场景

· 办公电脑防勒索：针对个人办公电脑上文件，只允许指定软件操作；即使勒索病毒进入后，也无法对文件进行加密或编辑修改，实现有效防护。
· 服务器防勒索：围绕服务器区存放的备份文档、数据库文件进行保护，只允许指定的应用程序操作，有效防范了未知勒索病毒。
· 分支机构防勒索：分支机构只允许指定的应用程序对文档进行编辑修改，未知勒索病毒即使入侵了，也无法对文档进行加密或修改，有效保障了分支机构向总部文档上传前的安全性，防勒索安全策略可有分支机构根据情况设置，也可由总部统一下发安全策略。
· 哑终端防勒索：对分布在各营业点或不同楼层的哑终端设立堡垒式防护模式，如ATM、加油站收费终端，在堡垒模式下，白名单之外的软件都无法运行，有效解决了哑终端漏洞修复不及时的问题。

同时针对勒索病毒的防御，我们给出了几条处理建议：

　　●关闭不需要的端口与服务，尤其是139、445、135端口、windows远程桌面服务、Server服务、共享服务等。

　　●安装杀毒软件并更新到最新，对病毒进行全面查杀。

　　●不定时更新密码，设置强口令，尤其是面向互联网的服务器。

　　●及时更新系统补丁至最新版本，并对重要数据进行备份。

　　●安全设备升级到最新特征库版本，以此来防御新型攻击。

　　●制定应急预案并定期演练。