勒索病毒又來了--***如何***的？咱們又如何防範

  在我前兩天的工做中，很不幸客戶有兩臺服務器中了勒索病毒。我總結了一下這兩臺服務器有如下特色：一、系統密碼是弱口令。二、系統防火牆爲關閉狀態。三、開啓了系統的遠程桌面。這樣「***」一旦可以成功登陸服務器，就能夠在服務器上隨心所欲。即便服務器上安裝了安全軟件，也有可能會被***第一時間手動退出，以便於後續投毒勒索。其實99%的勒索病毒針對的都是windows系統，那麼如何防止主機或服務器被惡意遠程爆破（劃重點，認真看！！！）：

步驟1：使用高強度登陸密碼，避免使用弱口令密碼，並按期更換密碼a.高強度密碼：8位以上，採用大寫字母+小寫小寫+數字+符號（舉例：HanL936582@！#￥@） b.不要使用弱口令密碼：顧名思義弱口令就是沒有嚴格和準確的定義，一般認爲容易被別人猜想到或被破解工具破解的口令均爲弱口令（舉例：123456；abcdefg；admin） c.按期更換密碼：正常系統登陸口令須要在3-6個月以內更換一次密碼 d.另外若是組織內有多個服務器必定不要使用相同的密碼，這樣若是一臺服務器淪陷其餘服務器也會中毒 e.儘可能不要開啓DMZ主機或桌面映射功能，避免電腦IP爆漏在公網

步驟2：經過組策略強制使用密碼策略，對錯誤次數達到必定次數時進行阻止

a. win+r打開運行，輸入gpedit.msc

b. 計算機設置---Windows設置---安全設置---帳戶策略---帳戶鎖定策略」，而後到右側窗格中的「帳戶鎖定閾值」項，這裏能夠設置用戶帳戶被鎖定的登陸嘗試失敗的次數，該值在0到999之間，默認爲0表示登陸次數不受限制，咱們能夠改成3或10。（設置完成後，還能夠設置帳戶鎖定的時間）

c.修改後須要注意：當某一用戶嘗試登陸系統輸入錯誤密碼的次數達到必定閾值即自動將該帳戶鎖定，在帳戶鎖按期滿以前，該用戶將不可以使用，除非管理員手動解除鎖定。

步驟3：關閉沒必要要的端口，如：44五、135，139等，對3389端口可進行白名單配置，只容許白名單內的ip鏈接登錄

a. 首先右擊任務欄網絡圖標，選擇「打開網絡和共享中心」在網絡和共享中心中點擊左下角「Windows防火牆」

b. 在Windows防火牆中點擊「高級設置」，點擊左上角「入站規則」，而後再選右上角新建規則

c.規則類型點擊端口，選擇下一步

d.在「特定本地端口」中輸入「445」，點擊進入下一步， 而後在操做中選擇「阻止鏈接」，點擊進入下一步

e.點擊進入下一步，點擊完成至此即完成了對445端口的關閉，一樣其餘端口也可使用相同的方法禁用

步驟4：使用360安全衛士「防黑加固」關閉文件共享、admin$管理共享、遠程服務等

a.打開360安全衛士右上方搜索「防黑加固」打開此工具

b.打開後提示檢測，點擊「當即檢測」

c.檢測後會提示相關加固建議，按照建議操做，就能夠有效防禦被***

小結：經過以上四種方法，都可有效防禦服務器被遠程***問題，若是擔憂本身或公司的電腦***那就趕忙按照以上幾種方法進行手動設置防禦吧

以上方案須要關閉相關端口和共享，這會影響個人電腦正常做業，這種狀況要怎麼解決？？？

解決方法：能夠安裝最新版360安全衛士開啓「******防禦」功能，可有效防禦遠程爆破行爲，無需關閉端口、共享等，詳情見下1），點擊右上角「三橫槓」打開菜單，點擊「設置」按鈕

2），打開安全防禦中心，選擇******防禦，右側勾選「自動阻止高風險的遠程登陸行爲」

安全提醒

安全專家提醒廣大用戶、網管、服務器管理人員，不要點擊來歷不明的郵件附件，使用360安全衛士或系統Windows Update修復系統或第三方軟件中存在的安全漏洞，採用高強度、無規律密碼並按期更改電腦密碼，對重要文件和數據（數據庫等數據）進行按期非本地備份，在電腦上安裝360安全衛士，開啓***安全防禦+防黑加固功能對「***」***進行有效防禦。

在最後我利用一個案例，來講明***是怎麼利用網絡漏洞進行***的。以下表：

序號	「XXX」公司	漏洞和威脅	***的行動
1	「最危險的就是最安全的！***必定想不到邊界防火牆使用的是出廠默認密碼」 ——公司IT管理員小A對祕書MM吹牛	· 弱口令	· 從黑市購得公司的邊界IP等信息。   · 簡單漏掃，輕鬆獲取防火牆最高管理員權限。
2	有一次，爲了工做方便，管理員在防火牆上配置了一條從外部可隨意訪問本身主機的策略。 用完以後忘記了刪除。	· 策略管理混亂	· ***用已經得到的權限，分析防火牆的策略。發現從外部能夠無障礙訪問內部一臺主機。
3	爲方便給同事分享文件，管理員在本身的主機中建立了不少訪客用戶，並給訪客開了最高的權限，能夠任意訪問、獲取、修改主機內的文件。	· 用戶管理混亂   · 文件權限設置不當	· 獲取到了訪客權限，收集到大量文件。包括組網、網絡運維報告、網絡策略規則說明等文件。   · ***推測該主機是IT管理員的主機，並發現了管理員姓名：小A。
4	「今兒外賣魚香肉絲裏的香菜味道不錯。」管理員喜歡點魚香肉絲外賣，外賣小票常常隨手亂扔。 「***必定想不到，個人密碼是魚香肉絲首字母和手機號拼接。」 ——小A跟同事小B閒聊	· 信息防禦意識不足	· ***從外賣小票收集到了管理員的信息。   · 組合這些信息慢速暴力破解，獲取了管理員的密碼。
5	爲方便記憶，郵件服務器和管理員的主機共用了一套密碼。	· 多處共用密碼	· ***從組網中找到了郵件服務器。用已有的幾組密碼試探，獲取郵件服務器管理員權限。   · 盜取郵件數據後，在附件文件中發現會計同時向BOSS上報三套帳目數據。
6	BOSS的祕書很忙，工做PC的操做系統好久沒有升級打補丁。	· 系統漏洞	· ***從組網獲取到祕書的IP。   · 輕量漏掃發現大量系統漏洞。   · 利用系統漏洞獲取到了祕書PC中的許多文件。包括BOSS行程、產品報價、打擊競爭對手的材料等。
7	BOSS辦公室使用了無線路由器方便手機上網。 貪圖方便，路由器沒有開啓安全防禦加密，未修改初始密碼。 爲了安裝各類免費軟件，BOSS的手機作了越獄破解。	· 弱口令   · 無安全防禦的路由器   · 手機越獄後系統存在漏洞	· ***從組網獲取到BOSS路由器的IP。   · ***輕鬆攻破無防禦的路由器。   · ***控制路由器，向BOSS推送了不少釣魚廣告，引導BOSS鏈接了不少非法網站。   · ***經過系統漏洞控制了BOSS的手機，備份出手機中的通訊記錄、短信、相冊。發現BOSS常常與幾位「生意夥伴」「逢場做戲」
8	公司對外提供了一個官方網站，可是未進行必要的安全防禦。	· 無輸入校驗   · SQL注入漏洞   · webshell	· 早期試圖攻入公司時，以web做爲入口進行過SQL注入，獲取了用戶信息。但因爲業務特性，得到的內容價值不大。   · ***在web服務器中植入webshell、蠕蟲，但因爲用戶較少，只轉發過幾條垃圾郵件，無高價值進展，故放棄這個入口。