WannaCry爆发至今已有一年,第一代WannaCry病毒发展至今,各变种基本没有太大变化,安全厂商早期提供的解决方案依然能有效防御。虽然如此,但WannaCry余毒尚存,在未来较长时间内仍对部分政企机构具有一定安全威胁,一旦被病毒攻击得逞,所造成的后果往往难以逆转,除非及时备份业务系统。“永恒之蓝”漏洞补丁虽然发布已久,但依然有部分用户未能完成修复,所以在未来使用该漏洞所进行的各种网络病毒木马攻击仍将持续发生。而随着勒索病毒的产业链化,技术细节的公开化,代码的开源,病毒生成器的出现,勒索病毒的制作成本也逐渐降低,这些都将进一步促进未来勒索病毒的攻击走势。

1、 勒索病毒与安全软件的对抗加剧
随着安全软件对勒索病毒的解决方案成熟完善,勒索病毒更加难以成功入侵用户电脑,病毒传播者会不断升级对抗技术方案。

2、 勒索病毒传播场景多样化
传统的勒索病毒传播主要以钓鱼邮件为主,WannaCry病毒更多利用了高危漏洞(如永恒之蓝)、鱼叉游戏攻击,或水坑攻击等方式传播,大大提高了入侵成功率。以GandCrab为例,该家族病毒传播同时利用了钓鱼邮件、水坑攻击、网页挂马和漏洞利用四种方式。

3、 勒索病毒攻击目标转向企业用户
个人电脑大多能够使用安全软件完成漏洞修补,在遭遇勒索病毒攻击时,个人用户往往会放弃数据,恢复系统。而企业用户在没有及时备份的情况下,会倾向于支付赎金,挽回数据。因此,已发现越来越多攻击目标是政府机关、企业、医院、学校。

4、 勒索病毒更新迭代加快
以GandCrab为例,当第一代的后台被安全公司入侵之后,随后在一周内便发布了GandCrab2,现在已升级到3.0版本。病毒早期发布时存在漏洞,使得安全公司可以解密被加密的文件,随后更新的版本已无法被解密。

5、 勒索病毒加密目标升级
传统的WannaCry病毒加密目标基本以文件文档为主,现在越来越多的WannaCry病毒会尝试加密数据库文件,加密磁盘备份文件,甚至加密磁盘引导区。一旦加密后用户将无法访问系统,相对加密而言危害更大,也更有可能迫使用户支付赎金。

安全建议

针对个人用户
1、不要点击来源不明的邮件附件。
2、不使用外挂等病毒高发点的工具。
3、保持安全软件的运行状态,及时修复系统漏洞,实时拦截病毒风险。

针对企业用户:
1、 尽量关闭不必要的端口,如:445、135,139等,对3389端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、 对重要文件和数据(数据库等数据)进行定期非本地备份。
6、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。