在過去幾年里，勒索軟件無疑讓那些惡意軟件的開發(fā)者們賺得盆滿缽滿。勒索軟件的各種典型代表包括：2013 年的 CryptoLocker、2017 年 5 月的 WannaCry 和 2017 年 6 月的 NotPetya。

創(chuàng)新互聯(lián)建站是專業(yè)的京山網(wǎng)站建設(shè)公司，京山接單;提供網(wǎng)站設(shè)計、成都網(wǎng)站制作,網(wǎng)頁設(shè)計,網(wǎng)站設(shè)計,建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進行京山網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團隊,希望更多企業(yè)前來合作!

它們的受害者包括各大電話公司、英國國家醫(yī)療服務(wù)（NHS）、以 FedEx 為首的快遞公司、本田和雷諾之類的汽車制造商、以及烏克蘭國家機構(gòu)。

這些攻擊目標往往是并無針對性，而且如果不加以防范的話，大多數(shù)企業(yè)在未來的某個時候還可能面臨同類的威脅。

本文分為如下四部分對勒索軟件進行深度剖析：

• 都是“比特幣”惹的禍：勒索軟件基本概念與原理
• “零容忍”地識別：IT 團隊如何識別出自己的系統(tǒng)是否已被感染
• 確認過眼神，該行動了：在發(fā)現(xiàn)中招后應(yīng)采取的各個步驟
• 未雨綢繆，管好“一畝三分地”：做好防范，減小被攻擊的可能

都是“比特幣”惹的禍

什么是勒索軟件？

勒索軟件是一種快速傳播的惡意軟件，它可以加密計算機上的各種文件以換取贖金。

它通過鎖定屏幕、鍵盤或文件，攻擊者能夠阻止或限制用戶訪問自己的系統(tǒng)，并通常以索取付款（一般是比特幣之類的電子貨幣）的方式，換取文件或系統(tǒng)的解鎖密鑰。

在少數(shù)情況下，就算贖金已支付，勒索軟件也無法解鎖文件，或者文件內(nèi)容在加密時就已被混亂，導致其永遠無法再被訪問。

同時，還有另一種風險存在：勒索軟件在收到付款之后，可能在影響過的系統(tǒng)上留下痕跡，以便未來再次發(fā)起加密攻擊。

與比特幣的關(guān)系

眾所周知，比特幣是一種全球性的加密貨幣。由于它能夠提供匿名性，因此常被作為贖金支付的首選方式。

鑒于系統(tǒng)中沒有中間方（如銀行或信用卡公司）的介入，因此交易直接發(fā)生在兩個用戶之間。

什么是電子贖金條？

與現(xiàn)實生活中的贖金條或勒索信類似，這種電子提示是給受害者或第三方留下的，告知他們攻擊者已劫持了某些文件。

因此，在惡意軟件體系中，它通常能明確地指示受害者如何通過轉(zhuǎn)賬（一般是比特幣），以換取對被加密文件的破解或繼續(xù)訪問。

贖金條可以有多種形式，這當然會限制計算機的繼續(xù)啟動，但最常見有：

• 用戶桌面上新增可打開的文件
• 新的桌面墻紙或
• 引導啟動時的醒目消息

圖 1：WannaCrypt 贖金條示例

那么應(yīng)該付款嗎？

當然不！因為如果支付了贖金，您最終將助長該惡意軟件產(chǎn)業(yè)，給他們?nèi)ス舾嗟臒o辜受害者提供資助。

同時，如果您被識別為愿意支付贖金的人，您可能在未來再次成為受害者。就算您付清了贖金，實際上也不能保證一定收到恢復數(shù)據(jù)的解密密鑰。

此外，一些“假的”勒索軟件變體，甚至都無法有效地真正加密數(shù)據(jù)，何況它們中的一些可能已經(jīng)被破解，并且市面上已有了解密工具。

應(yīng)該引起關(guān)注

在過去的幾年里，勒索軟件已經(jīng)成為了大多數(shù)企業(yè)與個人系統(tǒng)的重大威脅，一些不那么舉足輕重的電腦也可能會中招。

而且，因為家庭用戶不一定有到位的備份策略，所以針對個人電腦的攻擊會更為常見。

勒索攻擊的后果一般是非常嚴重的，除了感染可能導致業(yè)務(wù)的中斷之外，勒索軟件攻擊所造成的經(jīng)濟損失還會導致：

• 代價高昂的響應(yīng)與調(diào)查
• 災(zāi)難公關(guān)處理
• 敏感數(shù)據(jù)泄漏的相關(guān)法律行為
• 可能違反 DPA（數(shù)據(jù)保護法案）或 GDPR（通用數(shù)據(jù)保護條例）所支付的罰金

最重要的是，企業(yè)可能遭受到嚴重的聲譽損失、失去現(xiàn)有或潛在客戶、并長期削弱其品牌形象。

此外，勒索軟件的目的也并不總是靠贖金牟利。在最近的一些案例中，人們發(fā)現(xiàn)某些勒索軟件只是某些其他惡意目的的“面紗”。

它們給傳統(tǒng)的網(wǎng)絡(luò)攻擊和數(shù)據(jù)盜竊提供了掩護，通過使得 IT 團隊忙于應(yīng)對顯著的勒索軟件感染事故，而限制或破壞了系統(tǒng)的整體效率。

如何會被感染？

勒索軟件最常見的感染媒介是網(wǎng)絡(luò)釣魚，即通過誘惑用戶去點擊電子郵件中的惡意鏈接、附件或社交網(wǎng)站上的信息，電腦和移動設(shè)備就會被感染。

其他感染方式還包括：

• Drive-up 攻擊，受害者打開了掛馬的網(wǎng)站或訪問惡意組件，如點擊廣告時勒索軟件就會自動進行安裝。
• Watering hole攻擊，水坑攻擊，即攻擊者猜測或觀察一些常被使用的目標網(wǎng)站，將惡意軟件植入其中。

“零容忍”地識別

雖然用戶看到贖金條是最為明顯的被感染跡象，但是勒索軟件攻擊在早期階段并不那么明顯。

惡意軟件作者經(jīng)常將勒索軟件構(gòu)造為：等到加密完成之后，再讓受害者知道，這消耗了受害者及時限制攻擊影響的寶貴時間。

在多數(shù)情況下，一旦業(yè)務(wù)環(huán)境受到了感染，勒索軟件就可以通過網(wǎng)絡(luò)共享的途徑，在后臺有條不紊地加密它有所有權(quán)訪問的各種文件。

勒索軟件的直觀識別，通常始于用戶報告 IT 團隊某個文件已被損壞，或被創(chuàng)建了未知的文件擴展名。然后 IT 團隊接手查找感染源，以控制正在進行的攻擊，并遏制其影響。

以下部分旨在為 IT 團隊提供指導，以應(yīng)對正在進行的勒索軟件感染、并標注出那些是被最終用戶發(fā)現(xiàn)的感染源。

無論感染是正在繼續(xù)還是已經(jīng)停止，這些任務(wù)都可以被并行執(zhí)行，同時也能通過組合判斷來消除誤報。

查看安全警報

請善用已經(jīng)部署到環(huán)境的現(xiàn)有安全工具，包括查看防病毒軟件（AV）的日志，入向電子郵件和代理設(shè)備上的日志警報。

雖然您會碰到大量的數(shù)據(jù)，但是這些可以與后面提到的其他任務(wù)相關(guān)聯(lián)，以提高結(jié)果判斷的準確性。

從用戶處獲取的信息

我們時常會忽略通過咨詢 IT 支持人員或用戶來確定事故的根源，因為他們對于日常工作中出現(xiàn)的異?，F(xiàn)象會更敏銳、更具體。

您最好能提供一個單獨的聯(lián)系點，如某個郵件地址組或支持電話號碼，以便用戶直接報告問題，從而避免出現(xiàn)各自去頻繁地呼叫 IT 支持人員，而耽誤了他們實施調(diào)查的寶貴時間。

我們可以指導用戶按照如下的檢查表，逐條報告問題：

• 是否有無法被打開/被找到/被損壞的文件？

圖 2：文件無法打開

• 是否出現(xiàn)奇怪擴展名的文件？
• 桌面背景是否被改為贖金條字樣？

圖 3：桌面背景被修改

• 是否無法啟動并顯示贖金單的計算機？

調(diào)查人員可以根據(jù)以下問題來進一步詢問用戶：

• 是否在事發(fā)前打開過任何新的文檔？
• 是否點擊了電子郵件中的附件或鏈接？
• 最近是否有任何軟件出現(xiàn)過崩潰？
• 是否訪問了任何陌生網(wǎng)站？
• 網(wǎng)站是否彈出過與加密有關(guān)的窗口？

圖 4：NanoLocker 的示例

雖然這會產(chǎn)生許多“噪音”，但是這些不但是事故的第一手資料，同時也能培養(yǎng)用戶觀察與報告問題的基本意識。

文件服務(wù)器是否被感染？

單從無法訪問的角度來看，我們無法準確定位自己的文件共享服務(wù)器或主機是否已被感染。

因此請遵循以下步驟來予以判斷：

• 在文件服務(wù)器上運行防病毒軟件的掃描。
• 查看那些未被共享的路徑，如本地桌面和系統(tǒng)盤。如果這些位置上都有被感染/加密的文件，則文件服務(wù)器很可能已被感染。
• 查詢未知進程的列表（最好能與以前采集過的正?；€相比較）。
• 如果將文件服務(wù)器置于脫機狀態(tài)，加密情況會停止蔓延嗎？

檢查文件所有權(quán)

為了加密，勒索軟件必須打開并寫入文件，這就意味著文件的所有權(quán)會被更改成受感染的用戶。

另外，贖金條也同樣需要有受感染帳戶的權(quán)限。識別所有者的最快方法就是打開被加密文件的屬性，在“詳細信息”選項卡中查看其所有者。

圖 5：識別所有者的用戶名

你也可以用如下 PowerShell 命令來進行查詢：

 
 
 
 

  
  
  
  
Get-Acl ‘.\2017-finance_report.doc.wncry’ | Select Owner 
 
 
 
 

我們可以通過手頭的用戶名來直接聯(lián)系相關(guān)用戶，然后通過查詢活動目錄，以獲知用戶登錄的計算機名稱。

雖然活動目錄本身本地并不提供此項操作，但是我們可以使用以下的腳本來實現(xiàn)。當然，根據(jù)域的大小不同，該腳本的運行時間也有所差異。

 
 
 
 

  
  
  
  
$username = "infected_username" 
  
  
  
  
$computers = Get-ADComputer -Filter 'Enabled -eq $true' -Properties Enabled | Select Name 
  
  
  
  
foreach ($comp in $computers) { 
  
  
  
  
    $Computer = $comp.Name 
  
  
  
  
    $ping = new-object System.Net.NetworkInformation.Ping 
  
  
  
  
    $Reply = $null 
  
  
  
  
    $Reply = $ping.send($Computer) 
  
  
  
  
if ($Reply.status -like 'Success'){ 
  
  
  
  
        $proc = gwmi win32_process -computer $Computer -Filter "Name = 'explorer.exe'" 
  
  
  
  
        ForEach ($p in $proc) { 
  
  
  
  
            $temp = ($p.GetOwner()).User 
  
  
  
  
                if ($temp -eq $Username){ 
  
  
  
  
                    write-host "$Username is logged on $Computer" 
  
  
  
  
                } 
  
  
  
  
        } 
  
  
  
  
} 
  
  
  
  
} 
 
 
 
 

另外，用戶名也可以作為篩選的條件，來獲取某個用戶當前所打開的文件列表。

當前文件共享會話

如果攻擊針對的是網(wǎng)絡(luò)共享，那么對于打開文件和當前會話的查詢則非常有用。

那些具有多個連接的文件集會特別可疑，它們應(yīng)該正在創(chuàng)建未知文件類型的文件。

要想顯示當前會話，請打開“計算機管理”，用“系統(tǒng)工具→共享文件夾→會話”（如圖 6）和“系統(tǒng)工具→共享文件夾→打開文件”（如圖 7）來查看當前的各種文件共享和遠程連接。

圖 6：系統(tǒng)工具→共享文件夾→會話

圖 7：系統(tǒng)工具→共享文件夾→打開文件

同樣，你也可以使用 PowerShell 命令來查詢打開的文件。

如果已知惡意軟件的文件擴展名，您可以添加查詢參數(shù)（-Match“extension_of_encrypted_files”），以限制返回結(jié)果的數(shù)量：

 
 
 
 

  
  
  
  
Get-SmbOpenFile | Where-Object -Property ShareRelativePath -Match "extension_of_encrypted_files" | Select-Object ClientUserName,ClientComputerName,Path 
 
 
 
 

另外，您可以根據(jù)用戶名來篩選 Get-SmbOpenFile 的輸出結(jié)果：

 
 
 
 

  
  
  
  
Get-SmbOpenFile | Where-Object -Property ClientUserName -Match "infected_username" | Select-Object ClientComputerName,Path 
 
 
 
 

關(guān)聯(lián)文件的訪問

識別出含有被加密的文件的共享路徑，與用戶組屬性之間的關(guān)聯(lián)。例如，如果財務(wù)共享文件夾里的文件被加密，并且只有財務(wù)用戶才能有權(quán)訪問，那么感染源很可能使用的是財務(wù)用戶帳戶。

同時，如果有多個受影響的共享路徑，那么確定哪個用戶組同時有多個訪問權(quán)限是至關(guān)重要的。

例如：如果財務(wù)和銷售的共享盤里的文件都被加密了，那么感染源很可能是財務(wù)用戶，因為只有他們部門才有權(quán)訪問這兩個路徑。

圖 8：財務(wù)部用戶可訪問兩個路徑

有針對性的防病毒定義

您的防病毒供應(yīng)商通常可以幫助您，為加密文件所關(guān)聯(lián)的文件擴展名創(chuàng)建有針對性的定義更新（或手動創(chuàng)建特征簽名）。這將有助于調(diào)查人員確定哪些系統(tǒng)受到了感染。

定義更新通常需要設(shè)置警報日志，而不是刪除或隔離文件，否則在能夠解密時，您的重要文件就已經(jīng)丟失了。

該更新應(yīng)該能夠被推送到所有系統(tǒng)中，以獲取被感染的系統(tǒng)列表，以及識別感染源。

在與防病毒供應(yīng)商聯(lián)系時，您可以涉及到如下方面，以便他們對您當前的情況有所了解：

• 描述遇到的問題，包括要訪問和被損壞的文件。
• 描述當前針對感染所采取的措施，包括是否已將主機與網(wǎng)絡(luò)連接斷開，或已確定了所涉及到的用戶。
• 描述被加密的文件及其擴展名。
• 描述被加密的文件位置，是在共享文件夾還是用戶的電腦上。
• 描述業(yè)務(wù)規(guī)模和受影響主機的數(shù)量。

檢查連接互聯(lián)網(wǎng)的主機

許多案例證明：那些面向外部提供終端服務(wù)、和遠程桌面的主機最容易被惡意軟件所感染。各類攻擊者每天都會掃描數(shù)百萬個 IP 地址，以尋找易受攻擊的系統(tǒng)。

通過檢查自己系統(tǒng)中這些服務(wù)的最近登錄情況，您可以確定那些頻繁使用網(wǎng)絡(luò)連接的帳戶，并限制感染的橫向傳播。

勒索軟件樣本

在調(diào)查期間，響應(yīng)與分析團隊通常會將潛在的惡意樣本提交到事先設(shè)計好的沙箱中，進行快速自動的分析。這在很多情況下為分析工作提供了一個很好的起點。

名為 CAPE（Configuration and Payload Extraction，配置和有效負載提?。┑拈_源工具會專門構(gòu)建出上下文環(huán)境、并快速地分析輸入樣本是否為惡意。

如果在目標網(wǎng)絡(luò)中發(fā)現(xiàn)了未知的可執(zhí)行文件，你還能夠?qū)⑵渖蟼鞯?https://cape.contextis.com/submit/ 進行深入分析。

以下是特別針對勒索軟件的 CAPE 公開實例。它們分別展示了將文件寫入磁盤，以及更改用戶文檔擴展名等行為。

• WannaCryptor: https://cape.contextis.com/analysis/7240/
• CryptoShield: https://cape.contextis.com/analysis/4509/
• Locky: https://cape.contextis.com/analysis/3579/
• BadRabbit: https://cape.contextis.com/analysis/3007/
• NanoLocker: https://cape.contextis.com/analysis/806/

如果您想構(gòu)建自己的 CAPE 實例，也可以使用 GitHub 上的鏈接：https：//github.com/ctxis/CAPE

確認過眼神，該行動了

無論是您自己在電腦上發(fā)現(xiàn)了令人討厭的贖金條，還是您的員工報告了可疑的感染，您都需要迅速采取一些步驟來控制和修復，以減少損失。

下面分兩部分來具體介紹：

• 針對企業(yè)內(nèi)部 C 級別的人員，給出一般性的建議和采納的步驟，最大限度地減輕攻擊的后果。
• 針對內(nèi)部 IT 團隊的具體處理實務(wù)，大家可以直接對號入座。

給 C 級別的建議

不要驚慌，不要付款：

• 要知道，在您之前許多組織都遇到過，所以請深吸一口氣，這并不意味著您明天會上頭條。
• 不要草率為了面子而支付贖金，在很多情況下，贖金條上的鏈接很可能會構(gòu)造出另一個網(wǎng)絡(luò)釣魚的機制。

通知您的 IT 團隊，并考慮獲得外部幫助：

• 立即通知您的 IT 團隊，以確保盡快采取措施。
• 您也可以考慮打電話給外部專家。在很多情況下，具有網(wǎng)絡(luò)事件響應(yīng)經(jīng)驗的專業(yè)安全公司會比內(nèi)部 IT 團隊更擅長處理此類事件。他們將能夠調(diào)查問題的嚴重程度，并確定下一步需要采取的措施。

迅速行動，并制定公關(guān)計劃：

• 迅速的響應(yīng)對于減少攻擊的進一步影響是至關(guān)重要的。建議組織針對此類攻擊制定演習計劃，以確保其有效性。
• 及時將信息傳遞給外部媒體。建議創(chuàng)建適當?shù)耐ㄐ拍０寤蚵暶?，以便按需發(fā)布。

確保符合法規(guī)和法律的要求：

• 注意：勒索軟件也可能會影響到您的部分客戶數(shù)據(jù)。在這種情況下，您需要遵守相應(yīng)的監(jiān)管和法律要求，如數(shù)據(jù)保護法（DPA）和通用數(shù)據(jù)保護條例（GDPR）。

這就意味著您必須在意識到數(shù)據(jù)泄露的 72 小時內(nèi)通知主管部門，以及受影響的個人，以避免受到處罰。

給 IT 團隊的技術(shù)指導

主要任務(wù)

下面列出了可應(yīng)用于勒索軟件感染場景的各項技術(shù)步驟：

與網(wǎng)絡(luò)進行物理隔離，并關(guān)閉已識別的主機：這是一個關(guān)鍵性的步驟，應(yīng)該盡快完成。鑒于最近蠕蟲類勒索軟件的流行（如 WannaCry 利用了 Windows 核心組件中的漏洞），如果缺少此步，企業(yè)將“如臨大敵”。

在實踐中，我們應(yīng)該執(zhí)行一些經(jīng)過了充分測試的流程，如某種網(wǎng)絡(luò)訪問控制（NAC）的方案。

在需要時，可將主機與網(wǎng)絡(luò)的連接斷開，并提醒用戶會出現(xiàn)無法訪問共享盤的情況。

從網(wǎng)絡(luò)中斷開被加密的共享盤，或禁用寫入權(quán)限：此舉可以抑制任何新的文件被加密。

如果網(wǎng)絡(luò)共享確實無法斷開的話，請盡可能地根據(jù)調(diào)查結(jié)果撤銷對共享盤的寫入權(quán)限，以便用戶仍可以只讀的方式訪問幸存的文件。

下一步是要確保加密進程已被停止。如果沒有，則感染很可能在于服務(wù)器端，因此應(yīng)當及時關(guān)閉服務(wù)器。

次要任務(wù)

為了限制感染的傳播范圍，并隔離源主機，我們可以采取如下步驟來予以減緩：

識別勒索軟件家族：用沙箱進行分析，識別勒索軟件的變種與類型會是一個復雜的過程，因此我們需要用到各種工具和信息。

其中包括：Context 的 CAPE（https://cape.contextis.com/）沙箱，它提供對惡意軟件樣本的詳細技術(shù)分析；Chronicles 的 Virus Total 則（https://www.virustotal.com/）提供了更為全面的描述。

用 Google 檢查文件擴展名：如果該軟件已經(jīng)存在了一段時間，那么在網(wǎng)上會有大量可用的信息。我們通過搜索文件擴展名，就能識別出勒索軟件的家族類型。

另外，通過諸如 https://id-ransomware.malwarehunterteam.com/ 這樣的第三方網(wǎng)站，我們也能夠快速地通過勒索條、加密文件的樣本來確定被感染的類型。

清理：在重新連接回網(wǎng)絡(luò)之前，將主機恢復到之前的“干凈”狀態(tài)是非常必要的。

具體操作包括：完全擦除干凈系統(tǒng)，從“黃金映像”中恢復，而不僅僅只是刪除已知的感染文件那么簡單。

隨著虛機技術(shù)的發(fā)展，現(xiàn)在重新鏡像的速度非常快，并且這是首選的可靠清理方法，尤其是在面對惡意軟件已影響到硬盤引導扇區(qū)的時候。

恢復到已知安全日期的文件：公司的備份策略會影響到恢復的進程，因此需要有一個經(jīng)過良好測試與實施的日常備份記錄，以供不時之需。

另外如下面鏈接所示，一些防病毒供應(yīng)商或免費工具網(wǎng)站也能提供第三方工具，以識別勒索軟件家族中某些加密機制的弱點，并實現(xiàn)解密的服務(wù)。

https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor

當然，如果發(fā)現(xiàn)備份記錄失效的話，我們還可以將被加密的文件經(jīng)過掃描之后，再傳輸?shù)揭粋€帶有最新防病毒軟件的干凈系統(tǒng)之上，以便后續(xù)處理。

未雨綢繆，管好“一畝三分地”

只要惡意軟件作者能夠持續(xù)獲利，那么勒索軟件的攻擊程度與范圍就會不降反升。因此，企業(yè)的安全團隊應(yīng)時刻做好各種事件響應(yīng)的準備。

下面我們列出了一些有助于最大限度地降低業(yè)務(wù)威脅的建議：

• 采取切實可行的預防措施，持續(xù)保護 IT 基礎(chǔ)架構(gòu)及其持有的數(shù)據(jù)，例如：我們可以模擬運行各種攻擊的場景，以測試和評估自身的安全性。
• 采用“深度防御（defence-in-depth）”的策略，以減少風險的暴露、并阻止惡意軟件在內(nèi)網(wǎng)中的傳播。

其中包括：防火墻和電子郵件安全產(chǎn)品可以阻止已知的惡意發(fā)件人、并去除已知的惡意附件類型；瀏覽器中的廣告攔截器和腳本攔截器能夠在用戶端各司其職。

而新的“沙盒”隔離技術(shù)則可以阻止從釣魚鏈接、惡意廣告、網(wǎng)絡(luò)驅(qū)動器和“水坑”中下載并執(zhí)行勒索軟件。

• 實施嚴格的備份制度、持續(xù)備份數(shù)據(jù)、并將其存儲到受感染的系統(tǒng)所無法訪問到的多個位置（包括脫機），以確保在發(fā)生攻擊時不會造成數(shù)據(jù)的丟失。同時，我們還應(yīng)定期測試這些系統(tǒng)的訪問性，而且最重要的是定期測試備份的完整性和恢復流程的可行性。
• 通過定期更新系統(tǒng)的補丁程序、并消減漏洞被利用的可能性，來保障自己網(wǎng)絡(luò)與系統(tǒng)的安全態(tài)勢。
• 通過考慮如何增強技術(shù)系統(tǒng)與流程的恢復能力，來為最糟糕情況的發(fā)生做好準備，進而保證您的關(guān)鍵系統(tǒng)在被勒索軟件鎖定時，仍能繼續(xù)運作。
• 制定事件的響應(yīng)計劃，并定期進行測試，以不斷尋求改進。當然，如果您沒有此項內(nèi)部技能的話，可以外包或?qū)で笸獠侩娔X取證專家的服務(wù)。

同時，對于違規(guī)所可能引起的公眾利益受損，您應(yīng)當確保有適當?shù)臏贤ㄓ媱潱约熬哂屑皶r通知媒體的能力。

• 開展員工意識培訓。確保您的員工充分了解自己可能面臨的威脅，和常見的攻擊方式（如：釣魚郵件等）。

【原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為.com】

網(wǎng)頁標題：IT團隊避免中招的“神技能”，讓勒索軟件見鬼去吧！
網(wǎng)站URL：http://uogjgqi.cn/article/ccdpcio.html