Windows 服务器下勒索木马的防护与对抗

通过经常被使用到的工具也可以看出，存在弱口令和严重系统漏洞或软件漏洞的机器，最容易成为攻击目标！攻击者通过这些工具的组合使用，对安全防护薄弱的这类服务器实施打击，并进行渗透和长期驻留，这对于服务器集群来说也是比较致命的，一台存在漏洞的主机，就可能造成整个集群的沦陷。

从被攻击时间角度看，攻击多发生在晚上19点到次日7点这段时间，占比达到62%，而这段时间在国内一般都是非工作时段。管理员经常是在第二天早上来上班时才发现服务器出现故障。

图7

从留下的勒索信息的联系邮箱统计中，我们发现，较常使用的有qq.com的邮箱和匿名邮箱cock.li，通过我们与攻击者的联系发现，使用邮箱和我们交流的攻击者大多使用了代理工具来访问邮箱，ip地址遍布世界各地，攻击者自身的防范意识较强。沟通使用的语言以英文为主，也有使用俄语等其它语种的联系人。

图8

攻击手法与防护方案

1. 弱口令爆破防护

针对这类最常见的攻击方式，安全产品可以增加远程登录保护，对发现的可疑登录行为进行拦截，以提高这类攻击的门槛。同时防黑加固也会对使用弱口令的机器进行提示，提醒管理员尽快修改密码，同时防黑加固被弱口令攻击的提醒。

2. 漏洞防护

通过系统或者软件漏洞，对服务器进行攻击，是仅次于RDP爆破的常见攻击方式，针对此类攻击我们提供了漏洞修复，热补丁，漏洞防护三个维度的防护。当然最稳妥的方式还是安装系统补丁，修复漏洞。但对于一些无法安装补丁，或者没有补丁的机器，我们热补丁技术与漏洞防护技术，可以保护机器免收漏洞攻击的影响，最大限度保护服务器安全。

3. 解密工具

针对市面上出现的勒索病毒，我们都做了分析研究。对于其中可以解密的部分，我们制作了一键解密工具，可破解勒索病毒达百余种。我们也会继续跟进勒索病毒发展趋势，继续不断补充完善这一工具。

4. 反勒索服务

我们从2016年开始，推出了反勒索服务，旨在帮助已经中招的用户，协助解决勒索病毒的后续问题。通过反勒索服务，我们协助用户解密文件，帮助用户查找中招原因，排查机器中存在的安全隐患，提供安全建议，到目前已经服务数千位用户。对之前联系过我们的中招用户，在解密工具发布后，我们也会推送消息给用户协助解密。

总结

根据对目前情况的分析，勒索病毒在今后一段时间，仍将是企业和个人面临的最严重的一类安全问题。通过积极的防护措施，可以极大地避免勒索病毒带来的风险，而事后补救措施往往代价高昂。针对windows服务器，我们给出以下安全建议：

1. 遵守安全规范，避免使用简单口令，建议打开组策略中的密码策略，强制要求使用足够复杂度的口令，同时定期更换口令。

2. 及时更新系统和使用的软件，尤其是有安全补丁放出时，更需要及时安装更新。

3. 做好权限控制，关闭不必要的服务与端口。对于非对外提供的服务，避免暴露于公网上，控制机器间的访问权限

4. 对重要数据定期备份，可以选择离线备份。

5. 安装专业的安全防护软件，保护系统安全。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!