“永恒之蓝”勒索病毒防护攻略，再也不用拔网线了

更多深度文章，请关注云计算频道：

由于链接较多，建议点此进入原文阅读更多文章：

5.12日，WCry 2.0勒索病毒大范围爆发。 该漏洞主要利用NSA于4.14日泄露的武器库中的Microsoft 0day进行大规模感染和传播。 由于使用了RSA和AES加密算法，在没有获取密钥的情况下，除了重装系统和恢复备份外别无他法。 这种勒索软件蠕虫给世界造成了巨大的破坏。 从英国的医院到国内的中石油、公安内网、大学内网，还有一些地铁系统，都被感染了。 这次爆发的危机与以往不同，很多国家的关键基础设施都受到感染，无法正常运转。

仅一天多时间，全球近百个国家的10万多个组织和机构遭到入侵，其中包括1600个美国组织和11200个俄罗斯组织。 西班牙电信巨头Telefonica、电力公司Iberdrola、能源供应商Gas Natural等西班牙企业的网络系统也陷入瘫痪。 葡萄牙电信、美国运输巨头联邦快递、瑞典某地方政府、俄罗斯第二大移动通信运营商Megafon都曾曝光过相关攻击事件。

中国 29,372 个组织组织的数十万台机器已感染 WannaCrypt（永恒之蓝）。 医院、政务服务终端等领域。 受感染计算机的数量仍在增长。

勒索病毒并没有停止，反而因为变种人的出现而愈演愈烈。 今天，作为中国疫情暴发后的第一个工作日，也迎来了最大的考验。

云栖社区将持续关注病毒最新动态

最新消息：

【0515】【勒索软件蔓延！ 广东珠海公积金紧急暂停！ 】

【0515】勒索病毒收款账户已被执法部门监控，已收到数万美元

[0515]【全球爆发大规模勒索病毒 网络安全概念股集体高开】网络安全板块大幅高开，蓝盾、美亚柏科、托尔思、仁子行、启明星辰、绿盟科技等10余只个股技术有他们的涨停板。

【0515】【云栖风向标】VOL.1：所有加油站都被比特币勒索病毒入侵了！先不要关闭服务器445端口

【0514】【苏转旁边开公司的朋友】连加油站都被比特币勒索病毒黑了！ 还没有关闭服务器445端口的赶快行动吧！

专家安全解读：

【0515】刀哥点评：全球比特币勒索事件暴露迷信，物理隔离不靠谱

【0515】勒索病毒引发重大话题：公有云比私有云安全吗？

【0515】WannaCry反思：传统安全理念被马其诺防线打败

[0515]蠕虫勒索WannaCrypt0r行为分析

[0515] 企业躲过了加密勒索病毒，仍可能存在4大安全隐患

【0515】“永恒之蓝”勒索病毒样本分析及一线案例处置分享

【0515】一张图看懂“永恒之蓝”勒索病毒处置流程 【0515】“永恒之蓝”勒索病毒安全事件应急指导手册（附工具包） 【0515】不容错过| “永恒之蓝”勒索病毒安全处置FAQ 安全专家推荐：

阿里云针对加密勒索事件的防护建议：

WCry仍在蔓延，周一上班的一些安全提示

Win Server 2003-2016 加密勒索软件事件必备补丁合集

【企业IT管理员必读】WanaCrypt0r 2.0及ONION等勒索病毒应急预案

为确保云端用户将加密勒索病毒的影响降到最低，阿里云建议用户采取以下措施，有效降低勒索病毒对您和您的组织造成的损害。

1、数据备份与恢复：备份、备份、备份。

可靠的数据备份可以将勒索软件造成的损失降到最低，但同时必须保护好这些数据备份，以免被感染和损坏。

如果给出的答案是肯定的，那么备份恢复就是企业的最后一道防线。 在最坏的情况下，它将成为企业的最后堡垒，企业需要建立不定期的数据备份策略，以确保在某些情况下备份措施到位。

如果企业的业务上云，至少要备份两份数据：本地备份和异地备份。

在云上，和云下环境一样，可以采用不同的备份方式来解决数据备份问题，从而保证在发生勒索事件后，能够尽可能的挽回损失。

推荐工具：ECS快照功能、RDS提供的数据备份功能、使用OSS存储服务备份重要数据文件、用户制定的数据备份策略或计划等。

ECS快照使用配置手册

RDS数据备份功能配置手册

自建数据库MySQL备份

2. 关键业务账户安全策略

- 阿里云主账号

如果你的业务在云端，可能需要从接入云环境入手（例如：使用云服务商登录云服务管理控制台），一定要注意安全。 阿里云为您分配的账号是所有云业务的第一把“钥匙”。 一旦你拥有的最高权限的“钥匙”被泄露，黑客将从根本上控制支持云业务的所有云服务资源。 这将直接威胁到整体的云业务安全。

云端提供账号登录双因素认证机制（MFA）、密码安全策略、租户账号审计功能。 企业可以在自己的云界面中轻松启用和禁用它，以确保云服务帐户的安全。

针对组织内的多角色场景，企业需要使用RAM服务为不同角色合理分配账号和授权账号，防止运维管理活动中因意外操作带来的安全风险。

最高业务权限账户

或许你在云端选择了云服务器，并在这些云服务器上部署了关键业务，比如：数据库服务、文件服务、缓存等与数据相关的核心和重要服务。 这些服务的最高管理员账号的安全是有保障的。 业务持续可靠运行所必需的。

您需要正确设置您的账户名和密码，我们为您提供以下建议：

1). 不要将这些高危服务暴露在互联网上，可以参考“5.加强网络访问控制”配置强访问控制策略；

2).启用认证功能；

3). 禁止使用root账号直接登录；

4). 如果您使用的是Windows系统，建议修改administrator的默认名称；

5). 为所有服务配置强密码。 强密码要求至少8个字符，包括大小写字母、数字、特殊符号，不包括用户名、真实姓名或公司名称比特币软件控制台，不包括完整的单词。

推荐工具：阿里云门禁服务（RAM服务）、系统加固

RAM服务配置手册

3.加强网络访问控制

精细化网管是服务的第一关。

对于大多数企业网络来说，其网络安全架构都是“一张图扁平化”，业务块之前很少有业务划分。 但是，随着业务的增长和扩张，一旦发生入侵，其影响将是全球性的。 在这种情况下，可以通过有效的安全区域划分、访问控制和准入机制来阻止或减缓渗透范围，从而防止不必要的人员进入业务环境。

例如：SSH、RDP等管理协议，FTP、Redis、MongoDB、Memcached、MySQL、MSSQL-Server、Oracle等与数据相关的服务都可以限制在连接源IP上进行访问控制，最大限度地减少访问范围和只允许访问受信任的IP地址，实时分析和审计出口网络行为。 具体可以从以下几个方面来实施：

推荐使用更安全的VPC网络；

例如：

1、我们常用的数据库服务不需要在互联网上直接管理或访问。 可以配置入站访问控制策略，防止数据库服务暴露在互联网上，被黑客利用；

2、同时我们还可以配置更严格的内网访问控制策略，例如：配置内网入方向只允许内网某个IP访问内网某个数据库服务器。

通过以上强大的内外网访问控制，可以有效地为自己的业务在网络入口加“锁”

推荐工具：VPC网络、安全组

安全组配置手册

4.防止恶意初始化访问

通常通过以下两种方式实现首次访问：发现并修复业务系统漏洞或拒绝点击钓鱼邮件/社交工程等不明恶意链接，保持谨慎态度。 我们甚至可以在攻击开始之前就采取措施加以阻止。 如果攻击者无法轻松建立对目标网络的初始访问权限，则攻击者更有可能转移到其他更容易的目标。 攻击者也希望花费尽可能少的成本来获得相应的收益。 如果无法轻松建立初始访问权限，这会增加他们寻找其他更容易的目标的可能性。

5、构建具有容灾能力的基础设施

高性能和冗余的基础架构能力是确保业务强大的基本条件。 在云环境中，可以使用SLB集群构建高可用架构。 当某个节点出现紧急问题时，可以有效避免单点故障。 问题比特币软件控制台，在防止业务中断的前提下，也可以防止数据丢失。 在资源允许的情况下，企业或组织可以在同城或异地建设容灾备份系统。 当主系统发生勒索事件时，可以快速切换到备系统，保证业务的连续性。

推荐工具：由阿里云SLB、阿里云RDS等高性能服务组成的容灾架构

6.定期进行外部端口扫描

端口扫描可用于检查组织是否暴露于漏洞。 如果一个企业有一些服务连接到互联网，它需要确定哪些服务必须发布在互联网上，哪些只供内部访问。 当公网上的服务数量较少时，攻击者的攻击范围较窄，遭受的安全风险较小。

推荐工具：阿里云云盾安全管家服务

7、定期进行安全测试，发现存在的安全漏洞

企业 IT 经理需要定期检测业务软件资产的安全漏洞。 一旦识别出公开暴露的服务，就应该使用漏洞扫描工具对其进行扫描。 尽快修复扫描漏洞。 同时，您应关注软件厂商不时发布的安全漏洞信息和补丁信息，及时做好漏洞修复管理工作。

推荐工具：VPC网络、安全组、主机系统安全、阿里云安全管家服务

八、日常系统维护工作

推荐工具：阿里云云盾安全骑士

9、关注业务代码安全

事实上，大部分的安全问题都是由于程序员的粗心大意或无意识造成的隐患。 代码安全直接影响业务风险。 根据经验，代码层安全需要程序员意识到，需要将安全架构设计纳入整体软件工程，按照标准的软件开发流程，将各个环节的安全因素关联起来。

对于一般企业而言，需要重点关注开发者或软件服务商的安全编码和安全测试结果，尤其是代码审计评估和上线后黑盒测试，对开发的业务代码的安全性（或不定期黑盒渗透）测试）。

推荐工具：阿里云云盾先知项目、阿里云云盾Web应用防火墙（WAF）、SDL标准流程

10.建立全球外部威胁和情报感知能力

安全是一个动态对抗的过程，就像打仗一样。 在安全事件发生之前，我们必须始终了解和识别各种外部风险。 因此，安全的思路应该从防止安全入侵转向防止丢失等一系列重点工作，预防措施必不可少，但基于预警和响应的时间差也很关键。 要实现这种快速准确的预警能力，需要对外部信息有很好的了解，切记“盲人摸象”。 因此，建立有效的监控和感知系统是实现安全控制措施不可或缺的一环，也是实施安全防护系统策略的基本条件。 . 用户可登录阿里云控制台，在云盾菜单中免费开启阿里云态势感知服务，实时查看外部攻击行为和内部漏洞（弱点）。

推荐工具：大数据安全分析平台、云端安全威胁态势感知系统

11.建立安全事件应急响应程序和预案

在安全攻防的动态过程中，我们可能很难100%防御所有的安全事件。 也就是说，我们需要为可能发生的突发安全事件制定应急策略。 响应，规范应急响应流程，规范事件处理规范，减少安全事件损失。

推荐工具：托管安全服务 (MSS)、安全事件应急响应服务

安全是一个持续对抗的过程。 云用户需要关注并做好安全防护。 只有这样，才能保证业务的持续可靠运行。

相关加固文件：

云栖互动专题：

NSA“永恒之蓝”勒索病毒全球爆发，波及99个国家。 作为程序员，你如何防止它？

云栖安全100问：

安全技术百题，老板再也不用担心病毒勒索了！