近期，各途徑網(wǎng)絡(luò)安全預(yù)警通報(bào)顯示，疑似Wannacry等勒索病毒的傳播和攻擊情況增多。鑒于勒索病毒對主機(jī)數(shù)據(jù)和業(yè)務(wù)運(yùn)行的嚴(yán)重影響，請學(xué)校師生保持警惕，持續(xù)做好防范Wannacry等勒索病毒工作，對疑似Wannacry等勒索病毒感染情況第一時(shí)間排查和掃描，定期備份數(shù)據(jù)并離線保存，避免發(fā)生網(wǎng)絡(luò)安全事件和個(gè)人數(shù)據(jù)損失。

以下結(jié)合國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）發(fā)布《勒索軟件防范指南》對勒索軟件（病毒）的防范、疑似排查和應(yīng)急處置做簡單介紹，詳情參見本站已發(fā)布勒索病毒防護(hù)相關(guān)內(nèi)容。

一、勒索軟件防范九要、四不要

防范勒索軟件要做到以下“九要”

1、要做好資產(chǎn)梳理與分級分類管理。

2、要備份重要數(shù)據(jù)和系統(tǒng)。

3、要設(shè)置復(fù)雜密碼并保密。

4、要定期做好安全風(fēng)險(xiǎn)評估。

5、要常殺毒、關(guān)端口。安裝殺毒軟件并定期更新病毒庫，定期全盤殺毒；關(guān)閉不必要的服務(wù)和端口，包括不必要的遠(yuǎn)程訪問服務(wù)（3389端口、22端口），以及不必要的135、139、445等局域網(wǎng)共享端口等。

6、要做好身份驗(yàn)證和權(quán)限管理。

7、要嚴(yán)格訪問控制策略。

8、要提高人員安全意識。

9、要制定應(yīng)急響應(yīng)預(yù)案。

防范勒索軟件要做到以下“四不要”

1、不要點(diǎn)擊來源不明的郵件。勒索軟件攻擊者常常利用受害者關(guān)注的熱點(diǎn)問題發(fā)送釣魚郵件，甚至還會(huì)利用被攻陷的受害者單位組織或熟人郵箱發(fā)送釣魚郵件，不要點(diǎn)擊此類郵件正文中的鏈接或附件內(nèi)容。如果收到了單位組織內(nèi)或熟人的可疑郵件，可直接撥打電話向其核實(shí)。

2、不要打開來源不可靠的網(wǎng)站。不瀏覽色情、賭博等不良信息網(wǎng)站，此類網(wǎng)站經(jīng)常被勒索軟件攻擊者發(fā)起掛馬、釣魚等攻擊。

3、不要安裝來源不明的軟件。建議不要從不明網(wǎng)站下載安裝軟件，也不要安裝陌生人發(fā)送的軟件，同時(shí)警惕勒索軟件偽裝為正常軟件的更新升級。

4、不要插拔來歷不明的存儲(chǔ)介質(zhì)。不要隨意將來歷不明的U盤、移動(dòng)硬盤、閃存卡等移動(dòng)存儲(chǔ)設(shè)備插入機(jī)器。

二、勒索軟件疑似排查

當(dāng)接到機(jī)器疑似感染勒索軟件的通報(bào)后，不要驚慌，可立即開展以下排查和工作，使用主流防病毒軟件和安全管理軟件對機(jī)器全部硬盤進(jìn)行掃描，排查和清理疑似病毒、木馬問題，第一時(shí)間清理病毒和木馬，升級主機(jī)操作系統(tǒng)補(bǔ)丁，降低勒索軟件可能產(chǎn)生的危害。

1、確認(rèn)機(jī)器備份數(shù)據(jù)。如機(jī)器有定期備份，切記在確認(rèn)機(jī)器安全良好前不要連接存放備份數(shù)據(jù)的存儲(chǔ)設(shè)備；如機(jī)器沒有定期備份，建議先期對主機(jī)重要數(shù)據(jù)進(jìn)行備份，并將備份離線（與機(jī)器斷開）保存，避免掃描主機(jī)過程中可能出現(xiàn)的數(shù)據(jù)損害。

2、使用安全類軟件進(jìn)行排查。使用主流防病毒軟件和安全管理軟件（如360殺毒和360安全衛(wèi)士、火絨安全軟件等），對機(jī)器進(jìn)行病毒掃描和木馬查殺，第一時(shí)間清理病毒和木馬，并升級主機(jī)操作系統(tǒng)補(bǔ)丁。如果主機(jī)存在明顯運(yùn)行異常而無法修復(fù)，可以慎重考慮重裝操作系統(tǒng)和全盤查殺清理等方式降低安全隱患。

3、確認(rèn)機(jī)器安全狀況。經(jīng)過排查未發(fā)現(xiàn)明顯安全問題，可以參考勒索軟件防范的“九要”和“四不要”做好日常防護(hù)；如果機(jī)器勒索軟件發(fā)作，需要參考勒索軟件應(yīng)急處置方法及時(shí)斷網(wǎng)處置并恢復(fù)主機(jī)運(yùn)行。

三、勒索軟件應(yīng)急處置方法

當(dāng)機(jī)器感染勒索軟件后，不要驚慌，可立即開展以下應(yīng)急工作，降低勒索軟件產(chǎn)生的危害。

1、隔離網(wǎng)絡(luò)。采用拔掉網(wǎng)線或者禁用網(wǎng)絡(luò)等方式切斷受感染機(jī)器的網(wǎng)絡(luò)連接，避免網(wǎng)絡(luò)內(nèi)其他機(jī)器被進(jìn)一步感染滲透。

2、分類處置。當(dāng)發(fā)現(xiàn)機(jī)器上重要文件尚未被加密時(shí)，應(yīng)立即終止勒索軟件進(jìn)程或者關(guān)閉機(jī)器，及時(shí)止損；當(dāng)發(fā)現(xiàn)機(jī)器上重要文件已被全部加密時(shí)，可保持機(jī)器開機(jī)原狀態(tài)等待專業(yè)處置。

3、及時(shí)報(bào)告。及時(shí)報(bào)告網(wǎng)絡(luò)管理員，通知其他可能會(huì)受到勒索軟件影響的人員。造成重大影響時(shí)，及時(shí)向網(wǎng)絡(luò)安全主管部門報(bào)告。

4、排查加固。立即視情況切斷網(wǎng)絡(luò)內(nèi)機(jī)器間不必要的網(wǎng)絡(luò)連接，修改網(wǎng)絡(luò)內(nèi)機(jī)器間的弱口令密碼。全面排查勒索軟件植入途徑，并及時(shí)堵塞漏洞。盡快對網(wǎng)絡(luò)內(nèi)機(jī)器進(jìn)行全面漏洞掃描與安全加固。

5、專業(yè)恢復(fù)。請專業(yè)公司和人員進(jìn)行數(shù)據(jù)和系統(tǒng)恢復(fù)工作。

本站已發(fā)布勒索病毒防護(hù)相關(guān)內(nèi)容，以供參考：

CNCERT發(fā)布《勒索軟件防范指南》

什么是勒索病毒？有哪些危害？如何預(yù)防？

圖解｜勒索軟件防范指南

微課堂：漫畫安全反勒索病毒篇