一、什么是勒索病毒？危害是什么？

勒索病毒泛指一切通过锁定被感染者计算机系统或文件并施以敲诈勒索的新型计算机病毒，通过计算机漏洞、邮件投递、恶意木马程序、网页后门等方式进行传播，一旦感染，磁盘上几乎所有格式的文件都会被加密，造成学校设备和学生个人终端大量重要文件无法使用甚至外泄，严重影响日常工作和生活。

一般被勒索病毒感染后，将导致重要文件无法读取、关键数据被损坏、计算机被锁死无法正常使用等情况；为了指引被感染者缴纳赎金，勒索病毒还会在桌面等明显位置生成勒索提示文件，被感染者需要通过缴纳高额赎金才能获取解密密钥恢复计算机系统和数据文件的正常使用，多数情况即使缴纳了高额的赎金也未必能正常恢复数据。因此，勒索病毒具有数据恢复代价大和数据恢复可能性极低的特点。

二、常见勒索病毒传播途径

1.网站挂马。用户浏览挂有木马病毒的网站，上网终端计算机系统极有可能被植入木马并感染上勒索病毒。

2.邮件传播。邮件传播是目前互联网上常见的病毒传播方式。攻击者通过利用当前热门字样，在互联网上撒网式发送垃圾邮件、钓鱼邮件，一旦收件人点开带有勒索病毒的链接或附件，勒索病毒就会在计算机后台静默运行，实施勒索。

3.漏洞传播。通过计算机操作系统和应用软件的漏洞攻击并植入病毒是近年来流行的病毒传播方式。最典型的案例是2017年在国内泛滥的WannaCry大规模勒索事件，攻击者正是利用微软445端口协议漏洞，进行感染传播网内计算机。

4.捆绑传播。攻击者将勒索病毒与其他软件尤其是盗版软件、非法破解软件、激活工具等进行捆绑，从而诱导用户点击下载安装，并随着宿主文件的捆绑安装进而感染用户的计算机系统。

5.介质传播。攻击者通过提前植入或通过交叉使用感染等方式将携有勒索病毒的U盘、光盘等介质进行勒索病毒的移动式传播。此种传播途径往往发生在文印店、公共办公区域等高频交叉使用可移动存储介质的场所，也可能通过广告活动派发、街区丢弃等方式实现诱导用户使用携带勒索病毒的U盘、光盘。携带勒索病毒的光盘、U盘一旦接入计算机，勒索病毒即可能随着其自动运行或用户点击运行导致计算机被感染。

三、勒索病毒发现方法

1. 业务系统无法访问

勒索病毒的攻击不局限于加密核心业务文件，也可能对学院的服务器和业务系统进行攻击，感染关键系统，造成严重损失，所以当出现业务系统无法访问或服务器无法正常启动现象时，需及时检查是否已经中了勒索病毒。

2. 电脑桌面被篡改

服务器被感染勒索病毒后，最明显的特征是电脑桌面发生明显变化，即：桌面通常会出现新的文本文件或网页文件，这些文件用来说明如何解密的信息，同时桌面上显示勒索提示信息及解密联系方式，通常提示信息英文较多，中文提示信息较少。

3. 文件后缀被篡改

服务器感染勒索病毒后，另外一个典型特征是：办公文档、照片、视频等文件的图标变为不可打开形式，或者文件后缀名被篡改。一般来说，文件后缀名会被改成勒索病毒家族的名称或其家族代表标志，如：GlobeImposter家族的后缀为.dream、.TRUE、.CHAK等；Satan家族的后缀.satan、sicck；Crysis家族的后缀有.ARROW、.arena等。

四、勒索病毒预防手段

不打开未确认的邮件或点入未知名内嵌链接，以免陷入勒索陷阱；

定期备份重要资料，要区分放在不同地方；

定期更新自有软件、操作系统及应用程序补丁，以确保维持在最新状态；

建议在服务器上部署终端安全防护EDR或其他正版专业杀毒软件，主动防御查杀勒索病毒；

在个人终端设备上安装正版专业杀毒软件，并定期更新病毒库；

避免使用弱口令，为每台服务器和终端设置不同口令，且采用大小写字母、数字、特殊字符混合的高复杂度组合结构，口令位数应在8位以上；

在系统中禁用U盘、移动硬盘、光盘的自动运行功能，不要使用/打开来路不明的U盘、光盘、电子邮件、网址链接、文件。

预防，是对付勒索病毒最为有效的手段！

五、勒索病毒处置措施

1. 阻断勒索病毒进一步扩散

发现中毒机器，应在第一时间对中毒机器进行断网处理(关闭网络能阻止勒索病毒在内网横向传播以及攻击者对当前设备的持续控制)。

2. 确认受影响情况

排查哪些机器受到攻击，影响情况如何，是否存在备份，备份是否可用，是否有敏感信息泄露。

3. 及时处理未感染设备，避免再次遭遇攻击

因无法确定黑客掌握了内部多少机器的口令，同一内网下设备口令均应更换。并根据排查发现的攻击方式与隐患，及时修补漏洞，短时间内无法修补的，坚决不能再次上线。

提高安全意识，能够有效降低勒索事件发生概率！