前言：一次“普通操作”，可能让整个公司停摆，很多企业在遭遇勒索病毒后，都会问一个问题：我们有防火墙、有杀毒软件，为什么还是被攻击了？事实上，大多数勒索病毒事件并不是从服务器漏洞开始，而是从 一个普通员工的电脑开始。常见的起点可能是：1.点击了一封邮件里的附件、2.下载了一个“发票文件”、3.访问了一个钓鱼网站、4.远程桌面密码被爆破。攻击者一旦进入企业网络，就会逐步扩大权限，最终加密整个公司网络的数据。

一、什么是勒索病毒？

1. 勒索病毒（Ransomware）是一种恶意软件。它进入电脑后会：1.扫描文件、2.加密文件、3.删除备份、4.显示勒索信息；

2. 攻击者会要求企业：1.支付比特币、2.或其他加密货币，才能获得解密密钥。如果企业没有备份，往往只能被迫支付赎金。

3. 请看以下截图：

   第2阶段：权限提升：攻击者会尝试：获取管理员权限、获取域控权限、窃取账号密码、常用工具包括：Mimikatz、PowerShell、PsExec。

   第3阶段：横向移动，一旦拿到权限，攻击者会在内网继续扩散：扫描内网服务器->连接共享目录->登录其他电脑->最终控制更多设备。

   第4阶段：部署勒索程序，攻击者在确认控制整个网络后，会：批量下发勒索病毒->同时加密大量电脑->删除备份文件。

   第5阶段：企业业务瘫痪，结果通常是：文件全部无法打开、服务器停止服务、ERP / OA系统无法使用、整个公司可能 被迫停工数天甚至数周。

   第6阶段：后续就是勒索了。请看以下截图：

   2. 远程桌面暴力破解，很多企业开放 RDP远程桌面 到公网。如果密码简单，例如：admin123、123456、password；攻击者可以通过自动工具不断尝试密码。一旦成功登录，就可以：手动安装勒索病毒->删除备份->控制服务器

   3.VPN账号泄露，如果企业VPN账号泄露：攻击者可以 合法进入企业网络。常见原因包括：钓鱼网站骗取账号、员工密码泄露、多系统共用密码、进入VPN后，攻击者就和内部员工一样。

   4. 系统漏洞，一些未及时更新的系统可能存在漏洞，例如：Windows漏洞、VPN设备漏洞、Web系统漏洞；攻击者可以直接利用漏洞进入服务器。

   1.内网权限过大很多员工电脑可以访问：文件服务器、共享文件夹、内网系统；一旦感染病毒，病毒会自动加密这些文件。

   2.网络没有隔离，如果企业网络没有做：VLAN隔离、访问控制、服务器隔离、病毒可以在整个网络自由传播。可以参考以下链接：

• 交换机为什么要划分VLAN

• 防火墙可以控制两个网段间单向访问吗？--以飞塔防火墙（Fotinet）为例

   3.域控权限被获取，如果攻击者拿到 域管理员权限：就可以通过域策略->同时向所有电脑下发病毒->整个公司几分钟内全部中毒。请看以下截图描述:

五、企业如何防止勒索病毒？防范勒索病毒需要多层防护。请看以下5个步骤：

   1.关闭不必要的公网远程桌面，如果必须使用远程桌面：建议：使用VPN访问、限制IP访问、使用复杂密码

   2.关键系统启用双因素认证，例如：VPN、邮箱、管理后台、即使密码泄露也无法登录。

   3.启用防火墙安全策略，可以参照以下链接：

  企业为什么一定要部署防火墙？--以飞塔防火墙（Fortinet）为例

   4.定期离线备份，备份是 最后一道防线。建议：定期备份重要数据、备份与生产网络隔离、测试恢复能力

   5.定期安全巡检，企业网络需要定期检查：弱口令、未打补丁系统、可疑登录、异常流量；很多攻击其实 早就有迹象。

阅读原文：原文链接