勒索病毒盯上Windows服務器 4月企業服務器遭加密事件增長超三成

自2018年以來，針對企業服務器進行攻擊的勒索病毒傳播持續升溫。春節剛過，國內就有數家機構的服務器遭到GlobeImposter勒索病毒襲擊，造成正常業務受到巨大影響；進入4月以來，針對企業服務器的勒索病毒攻擊日益呈現高發趨勢。騰訊御見威脅情報中心最新監測數據顯示，企業服務器被勒索病毒加密的事件在4月份增長了34%，騰訊企業安全專家認為，針對Windows服務器發起攻擊或將成為勒索病毒攻擊的新趨勢。

兩大勒索病毒家族卷土重來 傳統行業更受病毒“偏愛”

據悉，針對Windows服務器發起攻擊的勒索病毒主要有兩大家族，分別是GlobeImposter和Crysis。勒索病毒GlobeImposter家族較為“資深”，其初期主要針對個人用戶發起釣魚郵件攻擊，為了獲得更高的收益，于2018年初開始將重點攻擊目標轉向企業服務器。勒索病毒Crysis家族則一直針對Windows服務器進行攻擊，其最早出現日期可追溯到2016年3月，自2017年起開始被大量傳播。

根據騰訊御見威脅情報中心統計，自今年3月以來，伴隨兩大勒索病毒家族相繼出現爆發傳播跡象，企業服務器被勒索病毒加密的事件呈現上升趨勢，進入4月之后增速更明顯加快。在4月1日至4月18日約兩周多的時間內，企業服務器被勒索病毒加密的事件已增長了34%。

從企業服務器被勒索病毒攻擊的地域分布來看，江蘇、廣東被攻擊的企業最多，其次是山東和北京。

從遭受攻擊的行業分布情況來看，受害企業更偏向傳統行業，前三位分別為政府機關（26%）、工業企業（15%）和醫療機構（13%）。或由于傳統行業普遍在信息安全上的投入較少，存在安全隱患的機率更大，因此不法黑客入侵成功的機率也更高。

黑客入侵瞄準Web服務器 騰訊企業安全支招防御

通過對不法黑客入侵的路徑進行分析，騰訊御見威脅情報中心發現，大部分的攻擊多來自公司連接外網的Web服務器。不法黑客首先通過安全漏洞入侵Web服務器，再通過漏洞攻擊繼續滲透、控制內網其他服務器，最后將服務器數據加密。更糟糕的是，當不法黑客完全控制企業服務器后，會直接關閉服務器上運行的安全軟件，接下來的加密破壞會更加暢通無阻。

由于勒索病毒攻擊者在加密企業服務器的過程中較多使用較復雜的混合加密技術，用以解密的私鑰控制在黑客手中，除非拿到私鑰，否則解密的可能性微乎其微。因此，應對勒索病毒攻擊，做好網絡安全防范措施最為關鍵。

對此，騰訊企業安全技術專家表示，企業用戶日常應養成良好的使用電腦習慣：定期對重要文件、重要業務數據做好非本地備份；及時打補丁，修復系統或第三方軟件中存在的安全漏洞；盡量關閉不必要的端口、不必要的文件共享，禁用對共享文件夾的匿名訪問；采用高強度的密碼，并且強制要求每個服務器使用不同密碼管理；對沒有互聯需求的服務器/工作站內部訪問設置相應控制，避免可連外網服務器被攻擊后作為跳板進一步攻擊其他服務器；在終端/服務器部署騰訊云等具備專業安全防護能力的云服務，可有效防御病毒入侵。

對于追求高效管理的企業用戶而言，推薦使用騰訊御點終端安全管理系統，可輕松實現終端殺毒統一管控、修復漏洞統一管控，以及策略管控等全方位的安全管理功能，幫助企業管理者全面了解、管理企業內網安全狀況、保護企業安全。

此外，針對日常辦公安全需求，可使用騰訊御界防APT郵件網關全方位守護企業郵箱安全。御界防APT郵件網關通過對郵件多維度信息的綜合分析，可迅速識別釣魚郵件、病毒木馬附件、漏洞利用附件等威脅，有效防范郵件安全風險，保護企業免受數據和財產損失。