近日，國內(nèi)安全威脅情報中心監測到新型勒索病毒Clop在國內(nèi)開(kāi)始傳播，國內(nèi)某企業被攻擊後造成大(dà)面積感染，緻該受害企業大(dà)量數(shù)據被加密而損失嚴重，提醒各政府企業單位注意防範。勒索病毒攻擊是以服務器(qì)定向攻擊為(wèi)主，輔以撒網式無差别攻擊手段。與其他勒索病毒不同，也是最可(kě)怕的地方是：Clop勒索病毒部分情況下攜帶了有(yǒu)效的數(shù)字簽名，數(shù)字簽名濫用，冒用以往情況下多(duō)數(shù)發生(shēng)在流氓軟件，竊密類攻擊程序中。勒索病毒攜帶有(yǒu)效簽名的情況極為(wèi)少(shǎo)見，這意味着該病毒在部分攔截場(chǎng)景下更容易。

傳播途徑

據火(huǒ)絨監測，勒索病毒主要通(tōng)過三種途徑傳播：漏洞、郵件和(hé)廣告推廣。 通(tōng)過漏洞發起的攻擊占攻擊總數(shù)的87.7%。由于win7、xp等老舊(jiù)系統存在大(dà)量無法及時(shí)修複的漏洞，而政府、企業、學校(xiào)、醫(yī)院等局域網機構用戶使用較多(duō)的恰恰是win7、xp等老舊(jiù)系統，因此也成為(wèi)病毒攻擊的重災區(qū)，病毒可(kě)以通(tōng)過漏洞在局域網中無限傳播。相反，win10系統因為(wèi)強制(zhì)更新，幾乎不受漏洞攻擊的影(yǐng)響。 通(tōng)過郵件與廣告推廣的攻擊分别為(wèi)7.4%、3.9%。雖然這兩類傳播方式占比較少(shǎo)，但(dàn)對于有(yǒu)收發郵件、網頁浏覽需求的企業而言，依舊(jiù)會(huì)受到威脅。 此外，對于某些(xiē)特别依賴U盤、記錄儀辦公的局域網機構用戶來(lái)說，外設則成為(wèi)勒索病毒攻擊的特殊途徑。

應對方案

根據勒索病毒的特點可(kě)以判斷，其變種通(tōng)常可(kě)以隐藏特征，但(dàn)卻無法隐藏其關鍵行(xíng)為(wèi)，經過總結勒索病毒在運行(xíng)的過程中的行(xíng)為(wèi)主要包含以下幾個(gè)方面：
1、通(tōng)過腳本文件進行(xíng)Http請(qǐng)求；
2、通(tōng)過腳本文件下載文件；
3、讀取遠程服務器(qì)文件；
4、收集計(jì)算(suàn)機信息；
5、遍曆文件；
6、調用加密算(suàn)法庫。

東勝軟件提醒各位用戶，為(wèi)防止用戶感染該類病毒，我們可(kě)以從安全技(jì)術(shù)和(hé)安全管理(lǐ)兩方面入手：
1、不要打開(kāi)陌生(shēng)人(rén)或來(lái)曆不明(míng)的郵件，防止通(tōng)過郵件附件的攻擊；
2、盡量不要點擊office宏運行(xíng)提示，避免來(lái)自office組件的病毒感染；
3、需要的軟件從正規（官網）途徑下載，不要雙擊打開(kāi).js、.vbs等後綴名文件；
4、升級到最新的防病毒等安全特征庫；
5、升級防病毒軟件到最新的防病毒庫，阻止已存在的病毒樣本攻擊；
6、定期異地備份計(jì)算(suàn)機中重要的數(shù)據和(hé)文件，萬一中病毒可(kě)以進行(xíng)恢複。
7、如果允許外網登錄的，盡量設置複雜的服務器(qì)密碼，如遇緊急東勝系統問題請(qǐng)及時(shí)聯系客服處理(lǐ)。