locky勒索软件攻击过程,lockbit勒索病毒解密

内容导读：导航目录:1、勒索软件入侵什么系统2、为什么Locky勒索病毒非常危险3、阿里云邮件退信，什么原因4、如何利用Locky勒索软件漏洞制造“疫苗”5、中了勒索病毒，只有文件被加密了，电脑软件还能用，我不想恢复文件，...……

导航目录:

• 1、勒索软件入侵什么系统
• 2、为什么Locky勒索病毒非常危险
• 3、阿里云邮件退信，什么原因
• 4、如何利用Locky勒索软件漏洞制造“疫苗”
• 5、中了勒索病毒，只有文件被加密了，电脑软件还能用，我不想恢复文件，

勒索软件入侵什么系统

自2005年以来，勒索软件已经成为最普遍的 *** 威胁。根据资料显示，在过去11年间，勒索软件感染已经涉及超过7694到6013起数据泄露事故。多年来，主要有两种勒索软件：基于加密和基于locker的勒索软件。加密勒索软件通常会加密文件和文件夹、硬盘驱动器等。而Locker勒索软件则会锁定用户设备，通常是基于Android的勒索软件。新时代勒索软件结合了高级分发技术(例如预先建立基础设施用于快速广泛地分发勒索软件)以及高级开发技术(例如使用crypter以确保逆向工程极其困难)。此外，离线加密 *** 正越来越流行，其中勒索软件利用合法系统功能(例如微软的CryptoAPI)以消除命令控制通信的需要。Solutionary公司安全工程及研究小组(SERT)的Terrance DeJesus探讨了这些年以来勒索软件的发展史以及亮点。AIDS Trojan之一个勒索软件病毒AIDS Trojan由哈佛大学毕业的Joseph L.Popp在1989年创建。2万张受感染的软盘被分发给国际卫生组织国际艾滋病大会的与会者。该木马的主要武器是对称加密，解密工具很快可恢复文件名称，但这开启了近30年的勒索软件攻击。Archievus在之一款勒索恶意软件出现的近二十年(17年)后，另一种勒索软件出现。不同的是，这个勒索软件更加难以移除，并在勒索软件历史上首次使用RSA加密。这个Archiveus Trojan会对系统中“我的文档”目录中所有内容进行加密，并要求用户从特定网站来购买以获取密码解密文件。Archiveus也是之一个使用非对称加密的勒索软件辩题。2011年无名木马在五年后，主流匿名支付服务让攻击者更容易使用勒索软件来从受害者收钱，而不会暴露自己身份。在同一年，与勒索软件木马有关的产品开始流行。一款木 *** 索软件模拟用户的Windows产品激活通知，告知用户其系统的安装因为欺诈需要重新激活，并定向用户到假的在线激活选项，要求用户拨打国际长途。该恶意软件声称这个呼叫为免费，但实际呼叫被路由到假冒的接线员，并被搁置通话，导致用户需要承担高额国际长途 *** 费。Reveton名为Reveton的主要勒索木马软件开始在整个欧洲蔓延。这个软件是基于Citadel Trojan，该勒索软件会声称计算机受到攻击，并被用于非法活动，用户需要使用预付现金支付服务来支付罚款以解锁系统。在某些情况下，计算机屏幕会显示计算机摄像头记录的画面，让用户感觉非法行为已被记录。此事件发生后不久，涌现很多基于警察的勒索软件，例如Urausy和Tohfy。研究人员在美国发现Reveton的新变种，声称需要使用MoneyPak卡向FBI支付200元罚款。Cryptolocker2013年9月是勒索软件历史的关键时刻，因为CryptoLocker诞生了。CryptoLocker是之一款通过受感染网站下载或者发送给商务人士的电子邮件附件形式的加密恶意软件。CryptoLocker感染快速蔓延，因为威胁着利用了现有的GameOver Zeus僵尸 *** 基础设施。在2014年的Operation Tovar终止了GameOver Zeus Trojan和CryptoLocker活动。CryptoLocker利用AES-256lai加密特定扩展名的文件，然后使用命令控制服务器生成的2048位RSA密钥来加密AES-256位密钥。C2服务器位于Tor *** ，这让解密很困难，因为攻击者将RSA公钥放在其C2服务器。攻击者威胁称如果在三天内没有收到钱他们将删除私钥。Cryptodefense在2014年，CryptoDefense开始出现，这个勒索软件利用Tor和Bitcoin来保持匿名，并使用2048位RSA加密。CryptoDefense使用Windows内置加密CryptoAPI，私钥以纯文本格式保存在受感染计算机—这个漏洞当时没有立即发现。CryptoDefense的创造者很快推出改名版CrytoWall。与CryptoDefense不同，CryptoWall不会存储加密密钥在用户可获取的地方。CryptoWall很快广泛传播，因为它利用了Cutwail电子邮件活动，该活动主要针对美国地区。CryptoWall也通过漏洞利用工具包来传播，并被发现是Upatre活动中下载的最后有效载荷。CryptoWall有过多次有效的活动，都是由相同的攻击者执行。CryptoWall展现出恶意软件开发的进步，它可通过添加额外的注册表项以及复制自身到启动文件夹来保持持续能力。在2015年， *** 威胁联盟公布覆盖全球的CryptoWall活动，金额达到3.25亿美元。Sypeng和KolerSypeng可被认为是之一款锁定用户屏幕并显示FBI处罚警告消息的基于Android的勒索软件。Sypeng通过短消息中假的Adobe Flash更新来传播，需要支付MonkeyPak 200美元。Koler勒索软件与Sypeng非常类似，它也是用假冒警察处罚，并要求MoneyPak支付赎金。Koler被认为是之一个Lockerworm，因为它包含自我繁殖技术，它可发送自定义消息到每个人的联系人列表，指引他们到特定网址再次下载勒索软件，然后锁定其系统。CTB-Locker和SimplLocker与过去其他变体不同，CTB-Locker直接与Tor中C2服务器通信，而不是具有多层基础设施。它也是之一个开始删除windows中Shadow Volume副本的勒索软件变体。在2016年，CTB-Locker更新为针对目标网站。SimplLocker也在2014年被发现，它被认为是之一款针对Android移动设备的基于Crypto的勒索软件，它会简单地加密文件和文件夹，而不是锁定用户手机。LockerPin在去年9月，一款侵略性Android勒索软件开始在美国各地蔓延。ESET安全研究人员发现之一个可重置手机PIN以永久锁定设备的真实恶意软件，被称为LockerPin，该恶意软件会修改受感染设备的锁屏Pin码，让受害者无法进入屏幕。LockerPin随后需要500美元来解锁设备。勒索软件即服务(RaaS)在2015年开始出现，这些服务通常包含用户友好型勒索软件工具包，这可在黑市购买，售价通常为1000到3000美元，购买者还需要与卖方分享10%到20%的利润。Tox通常被认为是之一款以及最广泛分布的RaaS工具包/勒索软件。TeslaCryptTeslaCrypt也出现在2015年，这可能将是持续威胁，因为开发人员 *** 出四个版本。它首先通过Angler漏洞利用工具包来分发，随后通过其他来分发。TeslaCrypt利用AES-256来加密文件，然后使用RSA-4096来加密AES私钥。Tor内的C2域被用于支付和分发。在其基础设施内包含多层，包括 *** 服务器。TeslaCrypt本身非常先进，其包含的功能可允许在受害者机器保持灵活性和持久性。在2016年，TeslaCrypt编写者将其主解密没有交给ESET。LowLevel04和ChimeraLowLevel04勒索软件在2015年被发现，主要瞄准远程桌面和终端服务。与其他勒索软件活动不同，攻击者通过远程手动进行，他们远程进入服务器、绘制内部系统。在这种情况下，攻击者被发现会删除应用、安全和系统日志。Chimera勒索软件在2015年年底被发现，它被认为是之一款doxing勒索软件，它会威胁称在网上公开发布敏感或私人文件。Chimera使用BitMessage的P2P协议用于进行C2通信，这些C2只是Bitmessage节点。Ransom32和7ev3nRansom32被认为是之一个使用JavaScript编写的勒索软件。该恶意软件本身比其他软件要大，达到22MB，它使用NW.js，这允许它处理和执行与其他C++或Delphi编写的勒索软件相类似的操作。Ransom32被认为具有革命性，因为它理论上可在多个平台运行，例如Linux、Mac OSX以及windows。7ev3n勒索软件在过去几个月中开始引起大家关注。在13 bitcoin，它可能是索要赎金更高的勒索软件。7ev3n勒索软件不仅执行典型的加密再勒索，它还会破坏windows系统。该恶意软件开发人员似乎很大程度侧重于确保7ev3n可破坏任何恢复加密文件的 *** 。7ev3n-HONE$T随后被发布，降低了赎金要求并增加了一些有效的功能。Locky在2016年，EDA2和Hidden Tear的恶意软件编写者在GitHub公开发布了源代码，并声称这样做是出于研究目的，而那些很快复制改代码并做出自定义更改的攻击者导致大量随机变体出现。臭名昭著的Locky勒索软件也在2016年被发现，Locky快速通过 *** 钓鱼活动以及利用Dridex基础设施传播。Locky也因为感染美国多个地区的医院而登上新闻头条。攻击者很快发现受感染医疗机构快速支付赎金，从而导致包含勒索软件下载的 *** 钓鱼电子邮件在医疗行业广泛传播。SamSamSamSam或者SAMAS勒索软件被发现专门分发给易受攻击的JBoss服务器。起初，攻击者会通过JexBoss工具对JBoss服务器执行侦查，随后利用漏洞并安装SamSam。与其他勒索软件不同，SamSam包含一个通道，让攻击者可实时通过.onion网站与受害者通信。KeRanger之一个正式基于Mac OSX的勒索软件KeRanger在2016年被发现，它通过针对OSX的Tran *** ission BitTorrent客户端来交付。该勒索软件使用MAC开发证书签名，让其可绕过苹果公司的GateKeeper安全软件。PetyaPetya在2016年开始流行，它通过Drop-Box来交付，并改写受感染机器的主启动记录(MBR)，然后加密物理驱动器本身。它在加密驱动器时还是用假冒的CHKDISK提示。如果在7天内没有支付431美元赎金，支付费用将会翻一倍。Petya更新包含第二个有效载荷，这是Mischa勒索软件变体，而它没有加密硬盘驱动器。MaktubMaktub也是在2016年被发现，它表明勒索软件开发人员在试图创建非常先进的变体。Maktub是之一个使用Crypter的勒索软件，这是用来隐藏或加密恶意软件源代码的软件。Maktub利用windows CryptoAPI执行离线加密，而不是使用C2来检索和存储加密密钥。JigsawJigsaw勒索软件在勒索信息中包含SAW电影系列中流行的Jigsaw人物，它还威胁称如果没有支付150美元的赎金将会每隔60分钟删除一个文件。此外，如果受害者试图阻止进程或重启电脑，将删除1000个文件。CryptXXX在2016年5月底，CryptXXX是被广泛分发的最新勒索软件辩题。研究人员认为它与Reveton勒索软件变体有关，因为在感染阶段有着类似的足迹。CryptXXX通过多种漏洞利用工具包传播，主要是Angler，并通常在bedep感染后被观察到。它的功能包含但不限于：反沙箱检测、鼠标活动监控能力、定制C2通信协议以及通过TOR付款。ZCryptor微软发表文章详细介绍了一种新型勒索软件变体ZCryptoer。除了调整的功能(例如加密文件、添加注册表项等)，Zcryptoer还被认为是之一个Crypto蠕虫病毒。它通过垃圾邮件分发，它有自我繁殖技术来感染外部设备以及其他系统，同时加密每台机器和共享驱动器。勒索软件的未来?专家预测我们在2016年还将继续观测到多个新变种，在这些变种中，可能只有少数会带来很大影响—这取决于恶意软件编写者以及涉及的 *** 团伙。现在勒索软件编写者还在继续其开发工作，更新预先存在的勒索软件或者制造新的勒索软件，我们预测，增强灵活性和持久性将会成为勒索软件标准。如果勒索软件具有这种能力，这将会是全球性的噩梦。根据最近使用crypter的勒索软件表明，勒索软件编写者知道很多研究人员试图逆向工程其软件，这种逆向工程和分析可能导致勒索软件开发人员改进其勒索软件变体。

为什么Locky勒索病毒非常危险

Locky被发现于今年2月中旬，2周内迅速在全世界各地传播，并已成为当今更流行勒索病毒。Locky传播主要通过包含Word附件的垃圾邮件，也会使用. *** 和.Zip附件感染用户电脑。这些附件包含恶意宏，通常主题为财务类信息。当用户启用这些文件，提示启用宏。用户一旦启用宏将允许病毒接触远程服务器，下载一个可执行文件，并运行该文件。这个可执行的文件就是Locky勒索病毒，它将立即执行加密，使用户电脑上的文件进行加密导致用户无法打开文件。

根据梭子鱼 *** 专家研究，目前国内已有大量企事业用户通过电子邮件被感染Locky勒索病毒，用户感染以后导致大量重要文件被加密，需要支付上万元解锁费后才能正常使用。严重影响了企事业单位的日常工作，也造成了经济损失。因此，梭子鱼 *** 专家郑重提醒企事业单位IT相关部门注意和重视Locky勒索病毒的传播。

Locky勒索病毒使用AES加密算法加密文件。它不会加密特定类型的系统文件，但会加密用户的所有数据，根据拓展标识识别用户数据类型文件。它也经常改变加密文件名字，使其难以恢复数据。Locky也将删除数据的所有Shadow Volume拷贝，使用户无法再使用这些文件。最后Locky会创建一个赎金并把它复制到每一个被加密的目录文件。赎金将标注解密页面的链接，并提供说明"如何购买Locky的解密"的说明。Locky使用的是aes - 128和RSA加密软件，目前没有解密钥匙解密被Locky加密的文件。Locky的开发人每天都可以改变域名，这就意味着无法通过阻止域名来防御Locky。

阿里云邮件退信，什么原因

1最近，一 *** 一 *** 的病毒邮件，准确说是诈骗勒索邮件来袭，邮件正文是关于订单和发票的内容，同时邮件包含带有zip的附件，附件名称中有payment字样，用户在收到这样邮件后，很容易点开附件查看，但打开附件后随即中刀，电脑中word, excel等文件被更改为.locky，告知用户付款后才能解锁。这就是最近通过邮件大爆发的Locky勒索软件。

2在向对方服务器发送时出现未知错误。

解决方案：联系管理员解决或重新发送。

如何利用Locky勒索软件漏洞制造“疫苗”

接下来，我们会在不与用户进行交互的情况下将”疫苗”应用于任何旨在阻止相关功能的细微系统改造中，这些改造是为了阻止因恶意程序的执行而引发的负面影响。显而易见的是，”疫苗”的使用必须是在受到病毒感染之前。

这种细微的修改可能是一个具体的互斥体和注册表的创建，或是简单地系统参数的修正，反正这些都不会给用户造成任何不便。下面是一个例子，在其执行的初始阶段，Locky锁定了系统语言，但是没有感染俄语的相关配置：

因此，如果设置系统语言为俄语，那么该系统就不会被感染，而一般情况下很少有人会更改这个设置。

疫苗#1：Locky注册表项中的ACL

在检查系统语言之后，Locky会试图创建 HKCU\Software\Locky 注册表；一旦失败，Locky便会立刻停止。

在Locky之前使用ACL创建此密钥可以阻止任何人进入，这样该系统就完成“疫苗”的接种了。

疫苗#2：已完成的注册表值

之后Locky会检查HKCU\Software\Locky

密钥，然后寻找ID（被感染的识别码）、公共密钥（从服务器提取的密钥，之后会详细解释）、支付文本（以指定语言呈现给用户的文本）和完整的注册表值。最后的注册表值会显示加密过程的最后一步。Locky会进行验证，如果是完整的注册表值，那就会标示为1；如果ID值中还是包含正确的系统识别符，那它会停止运行：

标示符生成算法其实很简单，在我们的测试中得到这样的结果：

1、GetWindowsDirectoryA() : C:\WINDOWS

2.GetVolumeNameForVolumeMountPointA(C:\WINDOWS) : \\?\Volume{ b17db400-ae8a-11de-9cee-806d6172696f}

3.md5({b17db400-ae8a-11de-9cee-806d6172696f}) : 1d9076e6fd853ab665d25de4330fee06

4.转换为大写ASCII并截取前16位字符: 1D9076E6FD853AB6

创建这两个注册表，其中一个是与系统有关的，通过加密阻止Locky：

疫苗#3：损坏的RSA密钥

在加密文件之前，Locky用下面的数据向CC发送一个HTTP POST请求：

(gdb) hexdump 0x923770 0x65

88 09 0c da 46 fd 2c de 1d e8 e4 45 89 18 ae 46 |....F.,....E...F|

69 64 3d 31 44 39 30 37 36 45 36 46 44 38 35 33 |id=1D9076E6FD853|

41 42 36 26 61 63 74 3d 67 65 74 6b 65 79 26 61 |AB6act=getkeya|

66 66 69 64 3d 33 26 6c 61 6e 67 3d 66 72 26 63 |ffid=3lang=frc|

6f 72 70 3d 30 26 73 65 72 76 3d 30 26 6f 73 3d |orp=0serv=0os=|

57 69 6e 64 6f 77 73 2b 58 50 26 73 70 3d 32 26 |Windows+XPsp=2|

78 36 34 3d 30 |x64=0

之一行是缓冲区的部分MD5 Hash值。数据会在发送之前进行简单编码的：

解码响应数据是通过这种类似的算法：

这两种算法可以通过几行Python实现：

def encode(buff):

buff = md5(buff).digest() + buff

out = ""

key = 0xcd43ef19

for index in range(len(buff)):

ebx = ord(buff[index])

ecx = (ror(key, 5) - rol(index, 0x0d)) ^ ebx

out += chr(ecx 0xff)

edx = (rol(ebx, index 0x1f) + ror(key, 1)) 0xffffffff

ecx = (ror(index, 0x17) + 0x53702f68) 0xffffffff

key = edx ^ ecx

return out

def decode(buff):

out = ""

key = 0xaff49754

for index in range(len(buff)):

eax = (ord(buff[index]) - index - rol(key, 3)) 0xff

out += chr(eax)

key += ((ror(eax, 0xb) ^ rol(key, 5) ^ index) + 0xb834f2d1) 0xffffffff

return out

编码之后的数据如下：

00000000: 3af6 b4e2 83b1 6405 0758 854f b971 a80a :.....d..X.O.q..

00000010: 0602 0000 00a4 0000 5253 4131 0008 0000 ........RSA1....

00000020: 0100 0100 2160 3262 90cb 7be6 9b94 d54a ....!`2b..{....J

00000030: 45e0 b6c3 f624 1ec5 3f28 7d06 c868 ca45 E....$..?(}..h.E

00000040: c374 250f 9ed9 91d3 3bd2 b20f b843 f9a3 .t%.....;....C..

00000050: 1150 5af5 4478 4e90 0af9 1e89 66d2 9860 .PZ.DxN.....f..`

00000060: 4b60 a289 1a16 c258 3754 5be6 7ae3 a75a K`.....X7T[.z..Z

00000070: 0be4 0783 9f18 46e4 80f7 8195 be65 078e ......F......e..

00000080: de62 3793 2fa6 cead d661 e7e4 2b40 c92b .b7./....a..+@.+

00000090: 23c9 4ab3 c3aa b560 2258 849c b9fc b1a7 #.J....`"X......

000000a0: b03f d9b1 e5ee 278c bf75 040b 5f48 9501 .?....'..u.._H..

000000b0: 80f6 0cbf 2bb4 04eb a4b5 7e8d 30ad f4d4 ....+.....~.0...

000000c0: 70ba f8fb ddae 7270 9103 d385 359a 5a91 p.....rp....5.Z.

000000d0: 4995 9996 3620 3a12 168e f113 1753 d18b I...6 :......S..

000000e0: fdac 1eed 25a1 fa5c 0d54 6d9c dcbd 9cb7 ....%..\.Tm.....

000000f0: 4b8e 1228 8b70 be13 2bfd face f91a 8481 K..(.p..+.......

00000100: dc33 185e b181 8b0f ccbd f89d 67d3 afa8 .3.^........g...

00000110: c680 17d8 0100 6438 4eba a7b7 04b1 d00f ......d8N.......

00000120: c4fc 94ba

中了勒索病毒，只有文件被加密了，电脑软件还能用，我不想恢复文件，

十个步骤使您免受勒索软件伤害

IT168 评论如果您在过去几周一直对安全方面的新闻有所关注，应该听说多家公司受到勒索软件，特别是逗Locky地的影响，其中不乏国内知名公司。这款勒索软件于今年二月露面并迅速成长为全球第二大勒索软件系列，排名仅次于CryptoWall，位于TeslaCrypt之前。虽然美国、法国与日本是受Locky影响最严重的三个国家，但是勒索软件同样肆虐其他亚太地区，尤其是中国。

最近发生的这波 *** 攻击浪潮使许多机构与用户深表担忧，您应该也不例外。勒索软件是很龌龊的事物，但是经过细心准备，您可以显著降低感染风险，并且减少感染之后对您或您的机构造成的影响。

什么是勒索软件?

勒索软件是一种恶意软件，可以感染设备、 *** 与数据中心并使其瘫痪，直至用户或机构支付赎金使系统解锁。勒索软件至少从1989年起就已经存在，当时的逗PC Cyborg地木马对硬盘上的文件名进行加密并要求用户支付189美元才能解锁。在此期间，勒索软件攻击变得更加复杂、更有针对性，也更有利可图。

勒索软件的影响难以估算，因为很多机构选择了支付赎金解锁文件——这种 *** 并不总是管用。由Fortinet和其他几家知名安全公司组成的 *** 威胁联盟于2015年10月发布了关于Cryptowall v3勒索软件的报告，报告预计此勒索软件已经给受害者带来至少3亿2500万美元的损失了。

勒索软件通常采取以下几种方式中的一种。Crypto 勒索软件可以感染操作系统，使设备无法启动。其他勒索软件可以加密驱动器或一组文件或文件名。一些恶意版本使用定时器开始删除文件，直至支付赎金。所有勒索软件都要求支付赎金以解锁或释放被锁定或加密的系统、文件、或数据。

2016年03月31日，美国 *** 应急反应团队与加拿大 *** 事件响应中心发布了勒索软件高调感染医院系统的联合警报。该警报称，受感染用户的设备屏幕上通常会显示类似的信息：

· 逗您的计算机已经感染病毒。点击此处可以解决问题。地

· 逗您的计算机被用于访问有非法内容的网站。您必须支付100美元罚金才能使计算机解锁。地

· 逗您计算机上的所有文件已被加密。您必须在72小时之内支付赎金才能恢复数据访问。地

在某些情况下，这种警告显示时伴有令人尴尬或色情的图片，目的是 *** 用户尽快将其从系统中甩掉。但是在所有情况下，系统脱机、关键数据不可用、生产停顿、企业经营活动受损。

我是如何被感染的?

勒索软件有多种传输方式，但是最常见的是电子邮件中附带的已感染文件。例如，今天我收到一份自称来自银行的电子邮件。邮件中有正确的银行标识、真实的银行网址链接、以及我的名字。信息的正文声称检测到我的账户存在可疑活动，并且我需要安装附带的文件来验证我的证书。这看起来像合法的问题。其实不是，这是一个钓鱼攻击。

当然，对于我们来说真相就是银行不会发送文件并要求安装——当然不会验证您的证书。而是附带的文件已受到勒索软件的感染，如果我点击了该文件，勒索软件就会加载到我的系统中。

但是电子邮件附件不是唯一的感染渠道。路过式下载是另一种感染方式：用户访问受感染的网页并在用户不知情的情况下下载并安装了恶意软件。勒索软件同样通过社交媒体扩散，比如网页式即时通讯应用程序。而且最近，脆弱的网页服务器被用作进入点来访问机构内部 *** 。

怎样才能阻止勒索软件?

这10件事情可以保护您以及您的机构免受勒索软件伤害。

1. 制定备份与恢复计划。经常备份您的系统，并且将备份文件离线存储到独立设备。

2. 使用专业的电子邮件与 *** 安全工具，可以分析电子邮件附件、网页、或文件是否包含恶意软件，可以隔离没有业务相关性的潜在破坏性广告与社交媒体网站。这些工具应该具有沙盒功能，使新的或无法识别的文件可以安全环境中执行和分析。

3. 不断对操作系统、设备、以及软件进行补丁和更新。

4. 确保您的设备与 *** 上的反病毒、入侵防护系统、以及反恶意软件工具已经升级到最新版本。

5. 在可能的情况下，使用应用程序白名单，以防止非法应用程序下载或运行。

6. 将您的 *** 隔离到安全区，确保某个区域的感染不会轻易扩散到其他区域。

7. 建立并实施权限与特权制度，使极少数用户才有可能感染关键应用程序、数据、或服务。

8. 建立并实施自带设备安全策略，检查并隔离不符合安全标准(没有安装客户端或反恶意软件、反病毒文件过期、操作系统需要关键性补丁等)的设备。

9. 部署鉴定分析工具，可以在攻击过后确认：a)感染来自何处;b)感染已经在您的环境中潜伏多长时间;c)您已经从所有设备移除了感染文件;d)您可以确保感染文件不会重返。

10. 关键的是：不要指望您的员工来保证您安全。同样重要的是加强用户意识培训，告诫员工不要下载文件、点击电子邮件附件、或点击电子邮件中来路不明的网页链接;人是安全链中最薄弱的一环，需要围绕他们制定计划。

这就是为什么：因为对于您的很多员工来说，点击附件并进行 *** 搜索就是他们工作的一部分。难以保持适度水平的怀疑精神。第二，钓鱼式攻击非常有效。定向的钓鱼式攻击使用类似在线数据与社交媒体文件之类的事物定制攻击方式。第三，点击来自银行的意外发票或重要信息只是人类本性。最后，很多调查表明用户认为安全是其他人的职责，与自己无关。

结论

*** 犯罪是一桩以盈利为主导的生意，可以产生数十亿的收入。与大多数生意一样， *** 罪犯有很高的积极性来寻找生财之道。他们使用诡计、勒索、攻击、威胁、以及诱惑等手段来访问您的关键数据与资源。

勒索软件并不是新鲜事物。但是其最近手段更加老练、传播方式更加隐蔽，表明其越发倾向于以意想不到的全新方式盘剥在线运行的个人与单位。

相比以往任何时候，安全不是为您的业务添加的某种工作。安全与业务经营是一个整体。确保您的合作伙伴是安全专家，懂得安全不仅仅是设备。安全是高度融合与协同的技术体系，结合了有效的策略与贯穿生命周期的准备、防护、检测、响应、以及学习 *** 。

安全解决方案需要共享威胁情报，以便在您的分布式环境中有效地检测威胁并作出响应。安全措施需要融入您的 *** 结构才能为您 *** 环境的演进和扩展提供无缝保护。安全措施必须能够动态适应新发现的威胁。而且安全措施绝不能妨碍您的经营活动和经营方式。