前次，我通過“GandCrab勒索病毒軟件和Ursnif病毒通過MS Word宏傳播”介紹了國外安全研究人員最近發(fā)現(xiàn)的兩個單獨的惡意軟件活動，一個是Ursnif數(shù)據(jù)竊取木馬和GandCrab勒索病毒軟件組合在野外分發(fā)，而第二個僅用Ursnif惡意軟件對用戶設(shè)備進(jìn)行感染。這兩個惡意軟件活動似乎都是兩個獨立的網(wǎng)絡(luò)犯罪集團操縱，但發(fā)現(xiàn)其中還是有許多相似之處。這兩種攻擊都是通過包含嵌入了惡意宏的Microsoft Word文檔附件，進(jìn)行網(wǎng)絡(luò)釣魚電子郵件開始，然后使用Powershell提供無文件惡意攻擊。其組合方式可以是：MS Docs + VBS宏= Ursnif和GandCrab、MSDocs + VBS宏= Ursnif。

后來我通過“越來越多的黑客使用RDP建立網(wǎng)絡(luò)隧道來繞過安全保護措施”又對利用RDP攻擊的，而也在文章中簡單提到了如果GandCrab結(jié)合后，產(chǎn)生的惡劣影響會是極其深遠(yuǎn)的。結(jié)合前幾天河南卡巴斯基文章與安全圈信息，最近GandCrab勒索病毒有案例出現(xiàn)。針對結(jié)合RDP與GandCrab合體攻擊情況，我結(jié)合“WannaCry”病毒以及常規(guī)的安全防護策略，做了一些簡單的安全防護描述，現(xiàn)提煉如下，供大家參考!

• 提高口令強度和復(fù)雜度，避免弱口令和口令復(fù)用;
• 安裝專業(yè)靠譜的殺毒軟件，并開啟主動防御功能。并不是所有的殺毒軟件都可以防范。
• 結(jié)合WannaCry病毒，建議關(guān)閉3389、445、139、135等端口，如工作必須開啟這些端口，建議采取白名單策略;
• 系統(tǒng)保持更新，及時修補操作系統(tǒng)漏洞;
• 做好數(shù)據(jù)備份，備份是當(dāng)下應(yīng)對勒索病毒的最有效手段之一;
• 保存相關(guān)日志，日志的完整保存是分析研判安全事件的原始資料，保存根據(jù)法律法規(guī)進(jìn)行相關(guān)日志保存與備份等。

友情提示：在等級保護中，日志審計要保護審計進(jìn)程，避免受到未預(yù)期的中斷，對審計記錄進(jìn)行保護，避免受到未預(yù)期的刪除、修改或覆蓋?！毒W(wǎng)絡(luò)安全法》明確規(guī)定，按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月等，所以日志留存無論是網(wǎng)絡(luò)安全等級保護制度還是《網(wǎng)絡(luò)安全法》都對其有要求。合規(guī)性是執(zhí)行網(wǎng)絡(luò)安全的基礎(chǔ)，在合規(guī)性基礎(chǔ)上無論多認(rèn)真都不為過。網(wǎng)絡(luò)安全界流傳一句話，意思是所有網(wǎng)絡(luò)風(fēng)險隱患都能導(dǎo)致安全事件，只是時間問題。

[[256762]]

過完小年，奔著大年去了。春節(jié)是我國最重要的傳統(tǒng)節(jié)日，做好網(wǎng)絡(luò)安全工作，保證網(wǎng)絡(luò)空間的安全清朗，讓我們在網(wǎng)上網(wǎng)下共度佳節(jié)。