勒索病毒防范建议——企业缓解措施

为公司的作业系统和应用程序保持为更新版本。

• 应用最新的安全补丁，确保关键软件是最新的，移动设备亦一样。
• 可以的话，启用自动更新选项。 定時更新将确保设备更安全，性能亦更好。
• 评估是否需要安装防病毒和反恶意软件产品，并使其保持最新。
• 定期扫描以确保操作系统高效运行。
• 考虑使用集中式补丁管理系统，并使用风险评估策略来确定哪些系统应该是补丁管理程序的一部分。
• 定期创建在线和离线备份系统。 最新备份是从勒索软件攻击中恢复的最有效方法。
• 确保创建离线备份，这些备份保存在与网络和系统中，和/或在为此目的设计的云服务中的不同的位置（最好是离线）。 请记住，勒索软件会主动将备份作为目标，以增加受害者付费检索其数据的可能性。

了解您的资产并将其划分。

敏感数据必须与日常数据区别对待。

• 将敏感数据存储在分隔的位置。
• 实施并确保有效的网络隔离，以限制对手从网络的一个部分转移到另一个部分的能力。
• 确保具有不同特征和安全等级的区域划分，隔离并限制对容易受到威胁的区域的访问。

对远程桌面协议(Remote Desktop Protocols / RDPs)实行安全限制登入

限制通过网络访问资源，尤其是通过限制RDP。 经过适当的风险评估后，如果您的组织认为RDP是绝对必要的，请严格要求原始来源并要求多因素身份验证。

监控数据外泄。

许多勒索软件活动都以威胁发布数据的手段来怂恿企业支付赎金。 数据外泄发现得越早，泄漏造成的损害就越小。 研究数据外泄的可能性可以准确地了解哪些数据存在暴露风险。

付款无法保证攻击者不会发布外泄的数据或重复使用相同的数据进行其他勒索。 无论是否支付赎金，都要考虑在这两种情况下会发生的事。

测试您的系统。

定期对网络安全进行渗透测试，并在关键信息恢复过程中执行测试，以确保其按预期工作。

降低恶意内容进入网络的可能性。

• 停用脚本环境 (scripting environments) 及巨集 (macros)。
• 将系统配置为主动检查内容，只允许某些文件类型，并阻止已知恶意的网站、应用程序、协议等。
• 在网络层面，考虑过滤网络流量，执行策略去监视、过滤和阻止非法或恶意流量到达您的网络。
• 基于实时威胁情报源实施黑名单/白名单规则，以防止用户访问恶意网站、恶意IP地址、钓鱼URL、匿名代理、Tor网络和其他匿名服务等。

使用强密码并定期更改密码。

• 利用数字、符号和大小写组合能帮助您创建强密码。
• 培训并鼓励员工在工作和私人生活中使用强密码，并推广使用密码管理器。

使用强身份验证。

需要多因素身份验证才能访问关键网络上的帐户，以最大限度地降低通过被盗或被黑客攻击的凭据进行访问的风险。

管理特权帐户的使用。

• 限制员工在公司网络设备上安装和运行软件应用程序的能力。
• 确保通过帐户使用策略、用户帐户控制和特权用户访问管理来限制用户和系统帐户。
• 根据最低权限、需要知道(need to know)原则和职责来决定访问权。 与普通用户帐户相比，特权用户帐户的潜在危害将导致更大的风险敞口。

保护您的远程工作设备。

• 实施硬盘加密、非活动超时、隐私屏幕、强身份验证、蓝牙禁用和可移动媒体控制和加密（例如USB驱动器）等措施。
• 对丢失或被盗设备实施远程禁用访问的程序。

仅从受信任的来源安装应用程式。

公司应只允许安装来自官方来源的应用程式的移动设备连接到企业网络。 可以考虑建立一个企业应用程式商店，供终端用户访问、下载和安装公司批准的应用程式。 咨询您的供应商以获取安全建议，或在公司内设立一支负责安全的团队。

避免透过公共Wi-Fi网络访问公司数据。

一般来说，公共Wi-Fi网络并不安全。 如果员工在机场或咖啡馆使用免费Wi-Fi连接访问公司数据，这些数据可能会暴露给恶意用户。 建议公司在这方面制定有效的使用政策。

为员工提供网络安全教育和意识培训。

• 让员工了解公司的在线安全政策。 提高员工对网络威胁的意识，尤其是网络钓鱼和社交工程，以及当他们遇到可疑活动时的处理方法。
• 考虑实施用户培训程序，包括针对鱼叉式网络钓鱼的模拟攻击，以阻止员工访问恶意网站或打开恶意附件。
• 为您的员工提供一种无缝的方式来报告钓鱼电子邮件，并在他们这样做时给予奖励。 一个简单的「谢谢」弹出窗口或积分系统有助激励员工提高警惕，并报告他们发现的可疑情况。

考虑网络安全保险。

考虑寻找一个保险代理人，在网络攻击的情况下提供保障。

打开本地防火墙。

打开本地防火墙以防止未经授权的访问。

停用Windows PowerShell。

如果未使用，停用Windows PowerShell。 一些勒索软件变体需要使用PowerShell执行。

感染了…下一步该怎么办？

1） 立即断开受感染设备与所有网络连接的连接，但不要将其关闭，无论是以有线、无线还是移动电话连接。

2）在非常严重的情况下，考虑是否关闭您的Wi-Fi，可能有需要禁用任何核心网络连接（包括交换机），以及断开与Internet的连接。

3） 重置凭据，包括密码（尤其是管理员和其他系统帐户），但请确认您没有将自己锁定在恢复所需的系统之外。

4） 将事件报告给您国家的警察或其他主管部门。

5） 与调查攻击的主管部门协调，保存任何证据：创建受影响系统的法医图像（或系统快照），创建受影响系统的RAM转储，并保存任何netflow或其他网络流量日志。

6） 安全地处理受感染的设备并重新安装操作系统。

7） 在从备份中恢复之前，请确认已没有任何恶意软件。只有在确信备份和连接到的设备是干净的情况下，才应该恢复。

8） 将设备连接到干净的网络，以下载、安装和更新操作系统和所有其他软件。

9） 安装、更新和运行防病毒软件。

10） 重新连接到您的网络。

11） 监控网络流量并运行防病毒扫描，以确定是否仍存在任何感染。