隨著“五一”假期的到來，多數企業即將迎來一個短暫的運營休整期，同時企業員工包括IT人員也將有機會暫時遠離工作，享受一個放松的假期。

然而，這一期間也往往成為網絡攻擊者尋求的“機會窗口”。在員工放假、IT支持相對薄弱的背景下，同樣為網絡威脅如勒索病毒攻擊等提供了可乘之機。一些不法分子或專業黑客可能會針對企業使用的邊界網絡設備（如飛塔Fortinet防火墻認證繞過漏洞CVE-2022-40684，Cisco ASA認證漏洞CVE-2023-20269等），企業管理軟件（如金蝶云星空ERP反序列化漏洞CNVD-2024-13011，用友NC命令執行漏洞CNVD-2024-18070，泛微e-cologySQL注入漏洞CNVD-2023-65262等）出現的最新安全漏洞或歷史安全漏洞進行攻擊，從而通過對企業重要服務器和數據庫文件執行加密，以此來實施勒索訴求。

基于近幾年多次處置勒索病毒事件的基礎上，我們總結出了一些勒索病毒的典型特征與預防策略，這些對勒索病毒的認知經驗和預防策略可以幫助企業在節假日期間提升網絡安全防護，維護業務穩定運行和數據安全，真正做到信息安全防患于未然。

一、勒索病毒典型特征

周末和節假日期間，更容易感染勒索病毒

勒索病毒多數選擇在周末和節假日期間實施攻擊，這主要是因為在這些時間點，企業的安全監控可能相對松懈，IT支持人員可能不在崗，從而減少了入侵行為被及時發現的風險。此外，節假日期間員工通常更放松，更容易受到釣魚郵件等社會工程攻擊的欺騙，增加了勒索病毒攻擊的成功機率。

外網設備或應用存在的已知漏洞，經常被勒索病毒用于攻擊

勒索病毒通常利用邊界網絡設備的自身漏洞、商業或開源應用軟件漏洞、操作系統漏洞、存在弱口令的遠程訪問服務等多種方式，對目標系統發動攻擊。常見的攻擊手段包括：

• 利用防火墻、VPN等網絡邊界漏洞
• 利用Windows、Linux等操作系統漏洞
• 利用OA、財務、CMS等應用系統漏洞
• 利用操作系統、應用、管理后臺等弱密碼漏洞
• 利用釣魚郵件攻擊
• 水坑攻擊等

節假日期間感染勒索病毒的企業信息安全共性

我們處理過多起在節假日上班后才上報的勒索病毒事件，這類企業一般都是：

• 傳統行業占比較多，比如制造業、房地產、零售、餐飲行業等;
• 網絡架構不合理：辦公應用系統、遠程管理端口等對外網開放，增加了不必要的外部攻擊面；辦公網的訪客網段、關鍵服務器網段沒有隔離等；
• 基礎安全不到位：只有甚至沒有邊界防火墻，缺少基本的主機安全類、流量檢測類、商業性防病毒產品等，從而因為安全產品缺失或安全功能過期，無法及時有效地阻止、檢測和中斷勒索病毒攻擊；
• 安全檢查未落實：比如服務器、VPN設備存在弱口令賬號，財務系統、OA應用、防火墻、VPN等軟硬件產品存在已知的嚴重安全漏洞未及時更新，缺乏安全意識點擊釣魚郵件感染等；
• 專業安全人員缺口：沒有專職安全人員或第三方安全服務團隊，不能預防、檢測和及時阻斷勒索病毒攻擊；

感染勒索病毒給企業造成的損失和后果

感染勒索病毒的企業通常會面臨業務中斷，可能持續數天甚至長達數周。盡管大多數企業可以通過備份數據恢復，但依然會造成一定程度的損失，包括但不限于：

• 財務數據不能訪問：工資發放、賬單處理、稅務報告等業務流程中斷；
• ERP數據不能訪問：供應鏈中斷、生產計劃受阻、合同和協議執行困難；
• CRM數據不能訪問：客戶服務響應中斷、銷售線索丟失、市場活動受阻；
• HR數據不能訪問：招聘流程延遲、員工個人隱私數據泄露；
• 研發（R&D）數據不能訪問：項目中斷、知識產權風險；
• 其它影響：客戶信任下降，法律合規風險，品牌聲譽損害等；

感染勒索病毒后的處理流程

勒索病毒通常使用對稱加密算法來對服務器上的大量文件實現快速加密，同時使用非對稱加密算法來加密對稱密鑰，從而確保只有攻擊者自身擁有文件解密密鑰。因此正常情況下，被加密的文件均無法恢復正常，只能通過備份文件進行恢復。

同時我們也建議不與勒索攻擊者溝通及支付贖金，這是因為支付贖金并不能保證數據會被解密，而且還會鼓勵更多的勒索軟件攻擊。此外，根據美國等國家的現行法律，支付贖金是被明確禁止的，企業和個人需遵守相關法律法規，以免觸犯法律。

一旦感染勒索病毒后，應盡快參照如下流程，尋求專業安全人員進行處置。具體可參考我們之前發布的勒索病毒處理經驗分享文檔。

二、勒索病毒防護主要策略

數據備份安全

檢查并驗證重要數據的備份機制是否正常，確保備份數據完整可用。同時確認備份數據的存儲位置與主數據隔離，避免被勒索病毒一并加密。

邊界設備安全

確認邊界防火墻、VPN等設備已升級到安全版本，避免存在弱口令等安全隱患。定期更換密碼，并采用多因素認證提高安全性。

外網攻擊面資產防護

對外網網站進行漏洞掃描和滲透測試，并通過WAF等安全設備對網站進行防護。確保所有Web應用都及時打上安全補丁。

安全檢測和監控告警

檢查主機安全、流量監控產品的策略配置是否完備，確保能夠及時發現異常行為。同時，考慮使用行為分析工具來識別潛在的內部威脅。

值班和應急預案機制

確保組織有完善的值班和應急預案機制，可以及時響應和處置勒索病毒等突發安全事件。這包括建立跨部門的應急響應團隊，以及定期進行應急演練。