前次，我通過“GandCrab勒索病毒軟件和Ursnif病毒通過MS Word宏傳播”介紹了國外安全研究人員最近發(fā)現(xiàn)的兩個單獨的惡意軟件活動，一個是Ursnif數(shù)據(jù)竊取木馬和GandCrab勒索病毒軟件組合在野外分發(fā)，而第二個僅用Ursnif惡意軟件對用戶設備進行感染。這兩個惡意軟件活動似乎都是兩個獨立的網(wǎng)絡犯罪集團操縱，但發(fā)現(xiàn)其中還是有許多相似之處。這兩種攻擊都是通過包含嵌入了惡意宏的Microsoft Word文檔附件，進行網(wǎng)絡釣魚電子郵件開始，然后使用Powershell提供無文件惡意攻擊。其組合方式可以是：MS Docs + VBS宏= Ursnif和GandCrab、MSDocs + VBS宏= Ursnif。

后來我通過“越來越多的黑客使用RDP建立網(wǎng)絡隧道來繞過安全保護措施”又對利用RDP攻擊的，而也在文章中簡單提到了如果GandCrab結合后，產生的惡劣影響會是極其深遠的。結合前幾天河南卡巴斯基文章與安全圈信息，最近GandCrab勒索病毒有案例出現(xiàn)。針對結合RDP與GandCrab合體攻擊情況，我結合“WannaCry”病毒以及常規(guī)的安全防護策略，做了一些簡單的安全防護描述，現(xiàn)提煉如下，供大家參考!

• 提高口令強度和復雜度，避免弱口令和口令復用;
• 安裝專業(yè)靠譜的殺毒軟件，并開啟主動防御功能。并不是所有的殺毒軟件都可以防范。
• 結合WannaCry病毒，建議關閉3389、445、139、135等端口，如工作必須開啟這些端口，建議采取白名單策略;
• 系統(tǒng)保持更新，及時修補操作系統(tǒng)漏洞;
• 做好數(shù)據(jù)備份，備份是當下應對勒索病毒的最有效手段之一;
• 保存相關日志，日志的完整保存是分析研判安全事件的原始資料，保存根據(jù)法律法規(guī)進行相關日志保存與備份等。

友情提示：在等級保護中，日志審計要保護審計進程，避免受到未預期的中斷，對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋?！毒W(wǎng)絡安全法》明確規(guī)定，按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月等，所以日志留存無論是網(wǎng)絡安全等級保護制度還是《網(wǎng)絡安全法》都對其有要求。合規(guī)性是執(zhí)行網(wǎng)絡安全的基礎，在合規(guī)性基礎上無論多認真都不為過。網(wǎng)絡安全界流傳一句話，意思是所有網(wǎng)絡風險隱患都能導致安全事件，只是時間問題。

[[256762]]

過完小年，奔著大年去了。春節(jié)是我國最重要的傳統(tǒng)節(jié)日，做好網(wǎng)絡安全工作，保證網(wǎng)絡空間的安全清朗，讓我們在網(wǎng)上網(wǎng)下共度佳節(jié)。