自2017年Wannacry勒索病毒大规模爆发以来，勒索病毒攻击事件层出不穷，政府、交通、能源及医疗等行业均成为了勒索病毒攻击的目标，到2023年，勒索事件愈发猖獗，8月8日Trigona 勒索香港数码港，9月26日RansomedVC 勒索索尼公司，10月27日LockBit 勒索波音公司，11月8日LockBit勒索中国某大型金融机构，11月28日Rhysida勒索中国某能源集团。

实则这些企业已经部署了各种安全防护手段，比如防病毒、防火墙、VPN及安全运营中心（SOC）等等，并且有专门的安全运营部门负责日常运维，但是仍然遭到了勒索病毒的攻击。勒索病毒难以防范。

那勒索病毒一般攻击路径是如何的呢？

▲ 勒索病毒的典型攻击步骤

第一步，收集情报，查找攻击目标暴露在互联网的VPN网关、电子邮件信息及公司站点等，然后利用系统漏洞或者钓鱼邮件、社会工程学等方法进入内网，并做持久化驻留，比如，写到计划任务里面，或者开机自启动等。

第二步，成功持久化后，攻击者一般会先潜伏下来，在不暴露自身的前提下，通过慢速攻击的方式找到关键业务系统和业务数据，再通过隐秘通道从互联网下载加密程序和加密秘钥。

第三步，对攻击目标的重要业务数据进行加密，加密算法一般采用对称加密AES或者非对称加密，抑或二者相结合，加密之后删除解密秘钥。

第四步，在被清除前勒索病毒会一直潜伏于内网，持续横向扩散，试图进行更多破坏。

一旦数据被攻击者加密，便很难还原回来，企业要么交赎金，要么面临数据泄露风险。

2023年10月份，美国联邦政府网络安全与基础设施安全局（CISA）发布了最新的《勒索病毒防范指南》。指南中把防范勒索病毒的过程分为两个部分：预防和应急响应。

预防阶段企业需提前备份关键数据，实施零信任体系架构以及做好安全配置，修复漏洞。而一旦中了勒索病毒，企业应当采取有效的应急响应措施，实现隔离被感染终端，检测病毒，猎杀病毒以及遏制和清除病毒的效果，并且在事后及时恢复文件。

以上涉及到的技术均可通过联软科技“五位一体”勒索病毒防范框架体系来实现。

联软“五位一体”勒索病毒防范框架体系的目标是保护用户的核心系统、核心数据和核心资产，从事前、事中、事后三个阶段帮助用户尽可能免受勒索病毒的感染，即使感染了也能快速发现及时阻断，尽可能降低病毒扩散速度，最后即使有重要数据被加密，也能够快速还原。

▲ 联软“五位一体”勒索病毒防范框架体系

在事前阶段，避免感染，双重备份。首先我们可以使用联软网络空间资产测绘产品UniCSM对企业外部和内部暴露面进行排查，做到知己知彼；其次，采用联软全网零信任产品UniSDP收敛内、外部暴露面；第三、采用联软EPP产品桌面安全管理系统，加强企业内部的安全管控，比如弱口令的管控，安全配置基线、补丁管理等；第四、通过UniNAC做好网络准入管控和合理的网络隔离；最后，可以对企业的重要数据进行备份，采用联软UniEDR“文档勒索防护”和UniNXG进行本地和云端双重备份，做到万无一失。

在事中阶段，一键阻断，“速效救心”。如果仍然有员工一不小心被电子邮件“钓鱼”，或者通过聊天工具感染了勒索病毒，怎么办呢？我们可以采用联软UniEDR系统，实时检测终端行为，发现终端勒索行为或者横向移动及时告警，并通过专家规则立即阻断，管理员可以采用调查功能远程清除木马；采用联软UniNID系统部署幻影功能，“幻化”成千上万个仿真系统，主动欺骗和诱捕勒索病毒，一旦发现勒索病毒踪迹，还可以对中招的终端进行微隔离，不影响其它终端业务。

在某大型企业里，曾因发现了个别终端中了木马，用户紧急使用联软产品，2分钟内十万终端网络隔离策略全部生效，有效阻断了病毒扩散。

事后恢复阶段，溯本清源，巩固薄弱。清除勒索病毒之后，我们可以很方便地从终端杀毒软件“文档勒索防护”功能中恢复文件，或者从UniNXG云端自动恢复文件。其次，通过联软UniEDR系统，可以轻松溯源到勒索病毒，查清入侵根源，最后可以根据自身的薄弱环节进行加固，比如，通过培训和演练提升员工的安全意识，避免邮件“钓鱼”等安全问题。

联软科技自成立以来，服务了数百家金融机构客户，几乎从未出现大面积勒索病毒感染事件。企业只要使用了联软“五位一体”防勒索框架体系，感染勒索病毒的风险至少下降90%，从而有效地保护企业数据不被勒索，保障企业业务的可持续运营。