火绒安全警报： "黑客入侵+勒索"恶性事件日增 狙杀式攻击政企单位

火绒安全团队向政府、企业单位发出警告，一种精确锁定目标的"黑客入侵+勒索病毒"恶性攻击事件日渐增多，请大家务必警惕，提前防范。

近期，火绒安全团队收到多个政企单位求助，服务器被黑客入侵，然后植入勒索病毒，索取高额赎金。不同于以往"入侵偷取资料"的黑客攻击，以及"广撒网"式的勒索病毒传播，"黑客入侵+勒索"是一种狙杀式的高危攻击，目标精准、手段恶劣，索要赎金高昂，被攻击的政企单位损失惨重，苦不堪言。

这种攻击的流程是，黑客使用工具暴力破解密码，通过漏洞、远程桌面链接等途径侵入政企单位电脑网络，然后直接植入勒索病毒锁死资料文件，进而勒索赎金。犯罪分子的逻辑显而易见，"入侵后直接勒索，比偷资料卖钱更方便；瞄准这些单位，知道他们的资料很重要，可以要到更多赎金"。

真实案例：

某企业网络12月8日遭遇勒索病毒攻击，服务器上的文件被锁死，火绒工程师帮助清除勒索病毒后，企业也专门修复了系统漏洞、修改了登陆密码（但是没有安装"火绒安全软件"）。

12月14日，火绒再次接到该企业求助，第二次遭遇同样的勒索病毒攻击。火绒工程师调查分析后发现，由于企业日常工作有远程需求，一直未关闭远程桌面功能（端口3389），于是黑客通过暴力破解密码，从该端口再次侵入企业网络，再次植入勒索病毒Ergop（常见的勒索病毒，火绒可查杀）锁死文件。

图：黑客远程入侵后进行弱口令爆破登录

图：火绒查杀出的勒索病毒

火绒工程师表示，这是典型的"黑客入侵+勒索病毒"狙杀式攻击，防御难度很大：如果关闭系统自身的远程桌面功能（端口3389），会影响企业正常办公；如果开放该端口，黑客一旦入侵后，就可以为所欲为，即使安装了安全软件，也可能被关闭或者删除，然后植入勒索病毒。

火绒安全团队给出解决方案：1、及时备份数据，增加密码强度；2、部署"火绒企业版"彻底杀毒，使用"IP协议控制"功能管理相关端口，阻止黑客入侵；3、如果关闭该端口，可使用"火绒企业版"的"远程桌面"模块，替代系统远程桌面功能，进行正常办公。

"火绒企业版"的"IP协议控制"模块，能自由控制对哪些IP开放相关端口，管理员既可以选择关闭这些端口，也能选择只允许被信任的IP使用这些端口。

"火绒企业版"的"远程桌面"模块，拥有"远程控制"、"远程查看"等功能，可以基本满足平常的远程办公需求。

"火绒企业版"自2018年初面市以来，已有3000家政府、企业单位部署试用，均反映安装、使用简单，运行稳定可靠，从未发生任何重大产品故障，充分满足企业安全需求。火绒官网持续开放试用申请，任何政企机构用户都可以免费试用"火绒企业版"3个月。

附录： "火绒企业版"相关功能模块使用方法：

1、"IP协议控制"操作说明（默认开启）

第一步，打开"控制中心"，点击【防护策略】-【策略管理】，点击【新建策略】

第二步，给策略命名（比如"关闭3389端口"），点击【编辑策略】

第三步，点击【IP协议控制】-【添加规则】

第四步，在本地端口中选择自定义，并添加3389端口（或者想要关闭的其它端口）。最后点击保存，并将策略应用到终端即可。

2、"远程桌面"操作说明

第一步，打开"控制中心"，点击【终端管理】，勾选需要远程控制的终端，然后点击【远程桌面】。

第二步，根据实际需求选择远程类型：远程控制与远程查看。点击确定后，即可完成远程需求。