近日，國內安全威脅情報中心監測到新型勒索病毒Clop在國內開始傳播，國內某企業被攻擊后造成大面積感染，致該受害企業大量數據被加密而損失嚴重，提醒各政府企業單位注意防范。勒索病毒攻擊是以服務器定向攻擊為主，輔以撒網式無差別攻擊手段。與其他勒索病毒不同，也是最可怕的地方是：Clop勒索病毒部分情況下攜帶了有效的數字簽名，數字簽名濫用，冒用以往情況下多數發生在流氓軟件，竊密類攻擊程序中。勒索病毒攜帶有效簽名的情況極為少見，這意味著該病毒在部分攔截場景下更容易。

傳播途徑

據火絨監測，勒索病毒主要通過三種途徑傳播：漏洞、郵件和廣告推廣。 通過漏洞發起的攻擊占攻擊總數的87.7%。由于win7、xp等老舊系統存在大量無法及時修復的漏洞，而政府、企業、學校、醫院等局域網機構用戶使用較多的恰恰是win7、xp等老舊系統，因此也成為病毒攻擊的重災區，病毒可以通過漏洞在局域網中無限傳播。相反，win10系統因為強制更新，幾乎不受漏洞攻擊的影響。 通過郵件與廣告推廣的攻擊分別為7.4%、3.9%。雖然這兩類傳播方式占比較少，但對于有收發郵件、網頁瀏覽需求的企業而言，依舊會受到威脅。 此外，對于某些特別依賴U盤、記錄儀辦公的局域網機構用戶來說，外設則成為勒索病毒攻擊的特殊途徑。

應對方案

根據勒索病毒的特點可以判斷，其變種通常可以隱藏特征，但卻無法隱藏其關鍵行為，經過總結勒索病毒在運行的過程中的行為主要包含以下幾個方面：
1、通過腳本文件進行Http請求；
2、通過腳本文件下載文件；
3、讀取遠程服務器文件；
4、收集計算機信息；
5、遍歷文件；
6、調用加密算法庫。

東勝軟件提醒各位用戶，為防止用戶感染該類病毒，我們可以從安全技術和安全管理兩方面入手：
1、不要打開陌生人或來歷不明的郵件，防止通過郵件附件的攻擊；
2、盡量不要點擊office宏運行提示，避免來自office組件的病毒感染；
3、需要的軟件從正規（官網）途徑下載，不要雙擊打開.js、.vbs等后綴名文件；
4、升級到最新的防病毒等安全特征庫；
5、升級防病毒軟件到最新的防病毒庫，阻止已存在的病毒樣本攻擊；
6、定期異地備份計算機中重要的數據和文件，萬一中病毒可以進行恢復。
7、如果允許外網登錄的，盡量設置復雜的服務器密碼，如遇緊急東勝系統問題請及時聯系客服處理。