勒索病毒又来了--***如何***的？咱们又如何防范

  在我前两天的工做中，很不幸客户有两台服务器中了勒索病毒。我总结了一下这两台服务器有如下特色：一、系统密码是弱口令。二、系统防火墙为关闭状态。三、开启了系统的远程桌面。这样“***”一旦可以成功登陆服务器，就能够在服务器上随心所欲。即便服务器上安装了安全软件，也有可能会被***第一时间手动退出，以便于后续投毒勒索。其实99%的勒索病毒针对的都是windows系统，那么如何防止主机或服务器被恶意远程爆破（划重点，认真看！！！）：

步骤1：使用高强度登陆密码，避免使用弱口令密码，并按期更换密码a.高强度密码：8位以上，采用大写字母+小写小写+数字+符号（举例：HanL936582@！#￥@） b.不要使用弱口令密码：顾名思义弱口令就是没有严格和准确的定义，一般认为容易被别人猜想到或被破解工具破解的口令均为弱口令（举例：123456；abcdefg；admin） c.按期更换密码：正常系统登陆口令须要在3-6个月以内更换一次密码 d.另外若是组织内有多个服务器必定不要使用相同的密码，这样若是一台服务器沦陷其余服务器也会中毒 e.尽可能不要开启DMZ主机或桌面映射功能，避免电脑IP爆漏在公网

步骤2：经过组策略强制使用密码策略，对错误次数达到必定次数时进行阻止

a. win+r打开运行，输入gpedit.msc

b. 计算机设置---Windows设置---安全设置---帐户策略---帐户锁定策略”，而后到右侧窗格中的“帐户锁定阈值”项，这里能够设置用户帐户被锁定的登陆尝试失败的次数，该值在0到999之间，默认为0表示登陆次数不受限制，咱们能够改成3或10。（设置完成后，还能够设置帐户锁定的时间）

c.修改后须要注意：当某一用户尝试登陆系统输入错误密码的次数达到必定阈值即自动将该帐户锁定，在帐户锁按期满以前，该用户将不可以使用，除非管理员手动解除锁定。

步骤3：关闭没必要要的端口，如：44五、135，139等，对3389端口可进行白名单配置，只容许白名单内的ip链接登录

a. 首先右击任务栏网络图标，选择“打开网络和共享中心”在网络和共享中心中点击左下角“Windows防火墙”

b. 在Windows防火墙中点击“高级设置”，点击左上角“入站规则”，而后再选右上角新建规则

c.规则类型点击端口，选择下一步

d.在“特定本地端口”中输入“445”，点击进入下一步， 而后在操做中选择“阻止链接”，点击进入下一步

e.点击进入下一步，点击完成至此即完成了对445端口的关闭，一样其余端口也可使用相同的方法禁用

步骤4：使用360安全卫士“防黑加固”关闭文件共享、admin$管理共享、远程服务等

a.打开360安全卫士右上方搜索“防黑加固”打开此工具

b.打开后提示检测，点击“当即检测”

c.检测后会提示相关加固建议，按照建议操做，就能够有效防御被***

小结：经过以上四种方法，都可有效防御服务器被远程***问题，若是担忧本身或公司的电脑***那就赶忙按照以上几种方法进行手动设置防御吧

以上方案须要关闭相关端口和共享，这会影响个人电脑正常做业，这种状况要怎么解决？？？

解决方法：能够安装最新版360安全卫士开启“******防御”功能，可有效防御远程爆破行为，无需关闭端口、共享等，详情见下1），点击右上角“三横杠”打开菜单，点击“设置”按钮

2），打开安全防御中心，选择******防御，右侧勾选“自动阻止高风险的远程登陆行为”

安全提醒

安全专家提醒广大用户、网管、服务器管理人员，不要点击来历不明的邮件附件，使用360安全卫士或系统Windows Update修复系统或第三方软件中存在的安全漏洞，采用高强度、无规律密码并按期更改电脑密码，对重要文件和数据（数据库等数据）进行按期非本地备份，在电脑上安装360安全卫士，开启***安全防御+防黑加固功能对“***”***进行有效防御。

在最后我利用一个案例，来讲明***是怎么利用网络漏洞进行***的。以下表：

序号	“XXX”公司	漏洞和威胁	***的行动
1	“最危险的就是最安全的！***必定想不到边界防火墙使用的是出厂默认密码” ——公司IT管理员小A对秘书MM吹牛	· 弱口令	· 从黑市购得公司的边界IP等信息。   · 简单漏扫，轻松获取防火墙最高管理员权限。
2	有一次，为了工做方便，管理员在防火墙上配置了一条从外部可随意访问本身主机的策略。 用完以后忘记了删除。	· 策略管理混乱	· ***用已经得到的权限，分析防火墙的策略。发现从外部能够无障碍访问内部一台主机。
3	为方便给同事分享文件，管理员在本身的主机中建立了不少访客用户，并给访客开了最高的权限，能够任意访问、获取、修改主机内的文件。	· 用户管理混乱   · 文件权限设置不当	· 获取到了访客权限，收集到大量文件。包括组网、网络运维报告、网络策略规则说明等文件。   · ***推测该主机是IT管理员的主机，并发现了管理员姓名：小A。
4	“今儿外卖鱼香肉丝里的香菜味道不错。”管理员喜欢点鱼香肉丝外卖，外卖小票常常随手乱扔。 “***必定想不到，个人密码是鱼香肉丝首字母和手机号拼接。” ——小A跟同事小B闲聊	· 信息防御意识不足	· ***从外卖小票收集到了管理员的信息。   · 组合这些信息慢速暴力破解，获取了管理员的密码。
5	为方便记忆，邮件服务器和管理员的主机共用了一套密码。	· 多处共用密码	· ***从组网中找到了邮件服务器。用已有的几组密码试探，获取邮件服务器管理员权限。   · 盗取邮件数据后，在附件文件中发现会计同时向BOSS上报三套帐目数据。
6	BOSS的秘书很忙，工做PC的操做系统好久没有升级打补丁。	· 系统漏洞	· ***从组网获取到秘书的IP。   · 轻量漏扫发现大量系统漏洞。   · 利用系统漏洞获取到了秘书PC中的许多文件。包括BOSS行程、产品报价、打击竞争对手的材料等。
7	BOSS办公室使用了无线路由器方便手机上网。 贪图方便，路由器没有开启安全防御加密，未修改初始密码。 为了安装各类免费软件，BOSS的手机作了越狱破解。	· 弱口令   · 无安全防御的路由器   · 手机越狱后系统存在漏洞	· ***从组网获取到BOSS路由器的IP。   · ***轻松攻破无防御的路由器。   · ***控制路由器，向BOSS推送了不少钓鱼广告，引导BOSS链接了不少非法网站。   · ***经过系统漏洞控制了BOSS的手机，备份出手机中的通讯记录、短信、相册。发现BOSS常常与几位“生意伙伴”“逢场做戏”
8	公司对外提供了一个官方网站，可是未进行必要的安全防御。	· 无输入校验   · SQL注入漏洞   · webshell	· 早期试图攻入公司时，以web做为入口进行过SQL注入，获取了用户信息。但因为业务特性，得到的内容价值不大。   · ***在web服务器中植入webshell、蠕虫，但因为用户较少，只转发过几条垃圾邮件，无高价值进展，故放弃这个入口。