#原创分享#实战-防御勒索病毒！

>>【原创分享计划2】分享技术经验，赚上千元稿酬！

       下午四点刚做完一个VPN的测试项目，销售给我打来电话，他的一个客户中了勒索病毒，向我们寻求帮助。

我回某公司，带上防火墙，赶往现场。

环境：

      客户属于制造业，网络规模不大，一百人以下的二层外网环境，只有一台ERP服务器，服务器端口映射到外网，供分支人员访问。ERP服务器是新迁移过来的不到一个月。自带备份功能（悲剧的是，备份方式是从一个分区备份到另一个分区），备份数据也被加密了。

      到达现场后ERP厂商已经全盘格式化服务器，数据恢复到8月5日（客户手动备份到移动硬盘的日期）。意味着客户丢失了半个月的数据，恢复好后，厂商没敢插网线。

       经过客户的描述：加密后文件的后缀名大多是ACL0、ACL02、ACL03等等，初步怀疑是Globelmposter病毒，Globelmposter勒索软件主要通过RDP爆力破解的方式进行传播。

防护方案：

       AF放在ERP服务器前面，怀疑内网电脑可能存在横向攻击。ERP服务器上部署edr单机版杀毒软件。

       应用控制策略：ERP到非信任区——全放开，非信任区到ERP---全禁止，然后再做一条:非信任区到ERP，用到端口的放通（这条放在最上面）。

安全策略：

IPS配置

   

web应用防护

僵尸网络

内容安全

我带的AF是测试设备，所有模块全有授权。

新建【安全防护策略】-新增业务防护策略，将上面创建的四个策略引用，动作全部拒绝。

设备上线，先保证规则库更新到最新。

ERP服务器安装杀毒软件，实时监控开启。

将ERP配上IP地址，接入网络，AF放在ERP前。

客户测试业务，全部正常，其它无关端口无法访问。

防火墙上暂时没有攻击日志，晚上九点回家！

第二天客户用微信给我发来照片：

服务器安然无恙，勒索病毒暴力破解攻击被扼杀在网络层。

感谢楼主分享，这两年勒索病毒确实越来越多，新型的、变种的层出不穷。而目前AF针对勒索病毒防护相对有效的如楼主所说的，1、封闭一些高危传播端口，如RDP/SMB等。2、开启ips的“恶意软件”和“暴力破解（主要也是针对RDP等协议）”。3、开启僵尸网络，拦截非法外连的行为。4、开启SAVE杀毒引擎的病毒查杀功能。5、在有条件的情况下，可以开启云脑接入，这样可以快速更新热门风险，对未知威胁也有一个更完整的检测能力。
另外考虑到目前勒索病毒的事件越来越多 ，所以AF 在近期会发布一个勒索病毒优化的版本，可以快速完成勒索病毒的专项防护策略，同时该版本也提升了勒索病毒的防护能力。

很详细，感谢楼主分享。

感谢分享

学习一下

真正的实战，学习

真正的实战，果断学习

感谢分享

防御勒索病毒确实麻烦，也不好清除，最近我们市里就有2个事业单位中了病毒花了几百万搞定的

66666666666666666