勒索病毒-数据备份恢复

防勒索病毒解决方案

1.勒索病毒是如何传播的

这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发

起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows

电脑甚至是电子信息屏，无需用户进行任何操作，只要开机联网，不法分子就能

在电脑和服务器中植入勒索软件、远程控制软件、虚拟货币挖矿机等一系列恶意

程序。

利用445文件共享端口实施破坏的蠕虫病毒，曾多次在国内爆发。因此，运营

商很早就针对个人用户将445端口封闭，但是教育网并未作此限制，仍然存在

大量开放的445端口。据有关机构统计，目前国内平均每天有5000多台电脑遭

到NSA“永恒之蓝”病毒武器的远程控制，教育网已成重灾区！

该勒索软件利用了微软SMB远程代码执行漏洞CVE-2017-0144，微软已在今

年3月份发布了该漏洞的补丁。2017年4月黑客组织影子经纪人（Shadow

Brokers）公布的方程式组织（EquationGroup）使用的“EternalBlue”中包

含了该漏洞的利用程序，而该勒索软件的所有者在借鉴了该“EternalBlue”后

进行了这次全球性的大规模勒索病毒事件。

2.防止勒索病毒传播

以下措施只是防止勒索病毒利用微软漏洞主动防御系统。

Win7、Win8.1、Win10用户，尽快安装微软MS17-010的官方补丁。

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

升级操作系统的处理方式：建议广大用户使用自动更新升级到Windows的最新

版本。

在边界出×××换路由设备禁止外网对校园网135/137/139/445端口的连接。

及时升级操作系统到最新版本。

停止使用WindowsXP、Windows2003等微软已不再提供安全更新的操作系

统。

3.企业内网的防范措施

如果勒索病毒通过正常访问共享文件夹的方式，在内网传播。以上措施无能为力。

因此要禁止内网之间的计算机相互随意访问共享。如果安全要求高可以设置交换

机禁止相互之间访问。

只允许办公电脑，访问专门的文件服务器，使用FTP，替代文件夹共享。

设置系统本地安全策略，要对FTP文件夹，不允许运行该文件夹中的任何程序。

使用虚拟机做文件服务器，每天做快照，如果中了勒索病毒还原到上一次快照，

立即恢复。

可以使用Linux作文文件服务器，勒索病毒是Windows下的病毒。不能加密

Linux系统中的文件。

UCACHE灾备云给出了企业级云灾备解决方案。以在线云服务的方式

提供用户Web控制台，备份本地数据至云端和云端数据恢复至本地的

数据保护服务，为用户的数据搬迁提供技术保障。

UCACHE平台推出了《灾备云免费普及计划》，完成申请登记即可开

通长达12个月的免费使用权限。在企业级云灾备场景下，计费颗粒更

小，同样的容量，同样的带宽，同样的RTO、RPO，同样的容灾等级，

UCACHE灾备云成本等低，给中小企业提供了低门槛、高效率的云灾

备选择空间。