Question

2017 年 5 月 12 日，一种名为“WannaCrypt”（中文翻译为想哭）的勒索病毒袭击全球 150 多个国家和地区，影响领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业。由于影响巨大，微软紧急发布了防范及修复指南，同时提供了已经不再支持的 Windows XP、Windows 2003 操作系统的相关补丁程序。

其实，企业用户几乎每天都在遭受勒索软件攻击。笔者在第 16 章里介绍的 putty.zip 其实就是一个勒索病毒，双击后电脑上的文件就会被加密，并要求在 96 小时内支付 8 比特币赎金，否则文件将永久无法打开 ^[1] 。

企业安全人员如何做好有效防御？首先要分析勒索软件的来源及利用途径，然后做好针对性的管控。根据笔者经验，邮件、上网、U 盘是三个主要的来源，我们分别阐述相应的解决思路。

1.邮件

从邮件进来的恶意软件应该是最多的，需要企业在邮件系统安全防护能力上下功夫，具体方法可以参考第 16 章中的相关内容。

针对个人用户，建议的方案是不点击陌生人发来的各种链接，不要打开陌生人发来的附件，重要数据做好日常备份或上传到企业网盘，及时更新系统补丁及防病毒软件的病毒定义包。

2.终端

恶意软件通过邮件、U 盘、网页访问下载等途径到了终端，会有各种动作，比如检查杀毒软件进程、访问外部网络、利用操作系统或应用漏洞等，勒索软件则在这个基础上更多偏向于对终端上的文件进行加密破坏。

常规的恶意软件，通过防病毒软件及时更新病毒定义就可以解决了；利用操作系统或应用漏洞的，则需要通过补丁管理来解决；需要利用管理员权限才能生效的程序，通过控制特权账户的使用即可解决。但总有例外发生，究其原因，是如今攻击方式已经发生了变化，防守方还处在特征签名加上补丁管理、病毒定义更新的模式，在终端数量众多的情况下，往往会存在执行不到位的问题，综合在一起才有了所谓的例外，其实并不是例外。相应的解决方案，一方面是做好以上基础工作进行正面防御，还可以从其他方面进行主动监测和保护。

主动监测，即对终端上程序的行为进行重点监控，包括进程创建、文件操作、网络请求等，再结合大量终端事件的关联分析与外部情报对接（文件、URL、IP 信誉等），可以在一定程度上发现异常。

主动保护，即对终端上的软件行为制定规则，可以简单地理解为 Office 文档只允许 Office 软件访问或修改，当检测到与规则不匹配时进行阻断。除了某些老牌杀毒软件有提供勒索软件防护功能外，目前有一些数据安全厂商也提供了相应的方案，可以参考。

3.上网

企业出于合规、审计等原因，基本都会部署上网行为审计系统，有的企业还会部署防火墙进行控制。针对恶意软件可能的网络请求，特别是勒索软件都要请求后端密钥，如果对此过程进行干预，也可以很大程度上解决问题。

主流的思路包括：URL 过滤、网站信誉库、恶意软件过滤等，再结合一些沙箱、情报技术等。有些恶意软件可能还会涉及偷数据的行为，为了规避会采用一些隐蔽信道的技术，也需要关注。

4.其他

在邮件、终端、上网都部署了相应的解决方案，能有效应对基于文档的勒索软件。但是，恶意软件技术总是不断在发展变化，有一些是针对移动终端的，安装了某些 APP 后就会导致手机被锁定；有一些是通过数据库管理软件实施的，即当数据库管理软件对数据库进行管理时乘机对数据库进行加密。作为安全从业者，需要时刻保持关注，并结合自己企业进行针对性的部署。

[1] 关于这个病毒，网上已经有相应的分析文章了，链接：http://blogs.360.cn/blog/ctb-locker/。