云小课 | 一份超实用的勒索病毒自救预防指南

摘要：HSS通过安全加固、主动防御、备份恢复帮助您有效防护您的主机不被勒索病毒侵害!





勒索病毒，是伴随数字货币兴起的一种新型病毒木马，通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。一旦遭受勒索病毒攻击，将会使绝大多数的关键文件被加密。被加密的关键文件均无法通过技术手段解密，用户将无法读取原本正常的文件，仅能通过向黑客缴纳高昂的赎金，换取对应的解密私钥才能将被加密的文件无损的还原。黑客通常要求通过数字货币支付赎金，一般无法溯源。



如果企业的关键文件被加密，业务将受到严重影响；黑客索要高额赎金，也会带来直接的经济损失，因此，遭遇勒索病毒入侵危害巨大。





面对勒索病毒的威胁，怎么才能克敌制胜？——选择华为云HSS



无论黑客发起多么复杂的勒索病毒攻击，在网络中经历多少环节，采用多少高级技术，都是通过攻击某一个或多个主机完成的。因此，应对勒索病毒离不开对主机的安全防护。



华为云HSS作为主机防护领域的领跑者，深耕主机安全管理，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，全面保障您的主机不被勒索病毒侵害。



云小课为您指引，如何使用HSS防勒索病毒？



防勒索病毒是一个长期而持久的过程，华为云HSS事前（安全加固）、事中（主动防御）、事后（备份恢复）三部曲，为您抵挡勒索病毒入侵，营造主机资产安全运行环境。







使用HSS前，您需要购买HSS防护配额，并开启主机防护；如果需要使用云服务器备份服务恢复数据，请在事前对服务器进行定时备份。



事前：安全加固——强基固本，拦截入侵





配置安全基线



HSS每日凌晨自动检测系统中关键软件的配置风险并给出详细的加固方法。您可以根据给出的加固建议，正确处理主机内的各种风险配置信息。





风险等级分为“高危”、“中危”和“低危”；建议您优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置，忽略可信任的配置项；HSS支持检测的软件类型：Tomcat、SSH、Nginx、Redis、Apache 2、MySQL 5。



步骤 1 进入“基线检查”页面，选择“配置检测”页签，查看配置检测详情，例如：SSH采用了不安全的加密算法。





步骤 2 进入配置风险详情页面，单击“检测详情”，您可以根据“审计描述”验证检测结果，根据“修改建议”处理主机中的异常信息，从而加固配置基线。





步骤 3 完成配置项的修复后，建议您立即执行手动检测，查看配置项修复结果。如果您未进行手动验证，HSS会在次日凌晨执行自动验证。自动验证完成后，您可查看配置项修复结果。



----结束



加固弱密码



HSS每日凌晨自动检测主机中使用的经典弱口令和您添加的自定义弱口令。您可以根据检测出的弱口令对应的弹性云服务器名称、账号名、账号类型和弱口令使用时长，加固弱密码。



HSS支持检测MySQL、FTP及系统账号的弱口令。



步骤 1 选择“安全 > 企业主机安全”，进入“基线检查”页面，加固弱密码。





步骤 2 进入“策略管理”页面，配置指定策略组的“弱口令检测”，添加自定义弱口令。





步骤 3 完成弱密码加固后，建议您立即执行手动检测，查看弱密码加固结果。如果您未进行手动验证，HSS会在次日凌晨执行自动验证。自动验证完成后，您可查看弱密码加固结果。



步骤 4 进入“告警通知”页面，勾选“弱口令”，一旦检测出弱口令，您将会收到告警通知。





----结束



修复漏洞



HSS每日凌晨自动进行一次全面的检测，“漏洞管理”通过订阅官方更新，判断服务器上的补丁是否已经更新，并推送官方补丁，将结果上报至管理控制台，并为您提供漏洞告警。帮助您及时发现漏洞，并在不影响业务的情况下修复漏洞、更新补丁。





漏洞修复紧急程度分为“需尽快修复”、“可延后修复”和“暂可不修复”；建议您优先修复“需尽快修复”的漏洞，根据业务实际情况修复“可延后修复”或“暂可不修复”的漏洞，忽略无需修复的漏洞。



步骤 1 选择“安全 > 企业主机安全”，进入“漏洞管理”页面。



步骤 2 选择“Linux软件漏洞管理”、“Windows系统漏洞管理”或者“Web-CMS漏洞管理”，一键漏洞修复或者根据“修复建议”进行手动修复漏洞。





步骤 3 修复漏洞后，您可以单击“验证”，一键验证该漏洞是否已修复成功。若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复结果。



步骤 4 进入“安装与配置 > 告警通知”页面，勾选“紧急漏洞”，HSS一旦检测出紧急漏洞（需尽快修复），您将会收到告警通知。





----结束



事中：主动防御——全面防御，无惧勒索



手段一：病毒云查杀+使用智能学习策略防御勒索病毒（旗舰版）





病毒云查杀



HSS提供隔离查杀功能，将已感染主机迅速采取隔离措施防止病毒扩散蔓延。



步骤 1 选择“安全 > 企业主机安全”，进入“事件管理”页面，查看并处理“恶意程序（云查杀）”告警事件。





步骤 2 选择“隔离查杀”，一键查杀勒索病毒。选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。





步骤 3 选择“安装与配置 > 告警通知”页面，勾选“恶意程序”实时告警通知，一旦检测出恶意程序，您将会收到告警通知。





----结束



使用智能学习策略防御勒索病毒



HSS可有效监控您云主机上的勒索软件及进程的加密行为，并进行及时的阻断和查杀，对资产进行全面防护，有效保护您的文档和内容的安全，保障您的主机不被勒索病毒侵害。





仅支持防御Windows系统勒索病毒。



创建智能学习策略



步骤 1 选择“安全 > 企业主机安全”，进入“勒索病毒防护”页面，选择“策略管理”，创建智能学习策略。





步骤 2 配置智能学习策略“基本信息”。





步骤 3 单击“添加服务器”，在弹出的“添加关联服务器”的窗口中，选择关联服务器。





步骤 4 完成关联服务器添加后，单击“创建并学习”，自动对关联服务器进行智能学习，收集该策略下的所有服务器的正常进程行为数据，完成可信程序的判定。



智能学习策略学习完成后，HSS将监控设置的“监控文件路径”，若发现非策略中的进程行为或者非可信程序的修改行为，及时触发告警。



----结束



处理告警事件



步骤 1 进入“勒索病毒防护”页面，在“事件管理”列表中，您可查看并处理告警事件





步骤 2 在弹出的处理事件窗口中，标记“可信”或者“不可信”。





步骤 3 您可以对非策略中的进程行为，或者“不可信”的进程行为进行手动阻断，并隔离查杀。防止非策略中的进程行为，或者不可信的进程对文件的加密操作。



----结束



手段二：锁定文件防篡改（网页防篡改版）





HSS可锁定驱动级文件目录、Web文件目录下的文件，禁止攻击者修改锁定的文件目录下的文件。若HSS检测到锁定目录下的文件被篡改，将立即使用本地主机备份文件自动恢复被非法篡改的文件。若本地主机上的文件目录和备份目录失效，可通过远端备份服务恢复被篡改的文件。





若需要使用HSS锁定文件目录及备份，请开启网页防篡改防护。



步骤 1 选择“安全 > 企业主机安全”，进入“网页防篡改 > 防护列表”页面，单击“防护设置”，进入防护设置页面。



步骤 2 在“防护设置”页面，添加防护目录，并将文件进行本地备份。





步骤 3 启动远端备份。HSS默认会将防护目录下的文件备份在“添加防护目录”时添加的本地备份路径下，为防止备份在本地的文件被攻击者破坏，请您启用远端备份功能。



1. 进入“网页防篡改 > 安装与配置”页面，在“远端备份服务器”页面，添加远端备份服务器。





2. 进入“网页防篡改 > 防护列表”，单击“防护设置”，进入防护设置页面，为防护目录启动远端备份。





----结束



事后：备份恢复——文件恢复，万无一失



结合云服务器备份服务，当云服务器被勒索病毒侵害，存储在云服务器中的文件、数据丢失或者无法正常打开时，您可以通过重装服务器系统，并通过云服务器备份的数据恢复云服务器。



步骤 1 选择“计算 > 弹性云服务器”，在待重装操作系统的弹性云服务器的操作列下，单击“更多 > 镜像/磁盘 > 重装操作系统”。





步骤 2 选择“存储 > 云服务器备份”，找到服务器所对应的备份，单击服务器所在行的“恢复”。恢复成功后，被勒索病毒攻击的文件可正常打开。





----结束



HSS除了勒索病毒防护，还有账户防暴力破解、网页防篡改、APT攻击检测等功能，赶紧戳这里，了解详情吧~~



安全无小事，时刻需警惕。2020，华为云普惠云安全，为您的网站、主机、数据提供免费云体检，还有一站式过等保贴心指导，赶紧戳这里，了解详情吧！



点击关注，第一时间了解华为云新鲜技术~