9. 私自下载破解软件致服务器感染勒索病毒

事件概述

某日，某公司十余台服务器感染勒索病毒，文件遭勒索加密，因此发起应急响应请求，查询中毒原因。

应急人员抵达现场后，查看加密文件后缀及勒索病毒界面，判断该病毒是Phobos家族勒索病毒。通过现场对多台受害服务器进行日志分析，并与相关工作人员沟通，发现公司内部员工曾使用个人电脑通过非官方渠道下载各类破解版软件，导致个人电脑感染勒索病毒。同时内网多台服务器均开放3389远程桌面服务端口，勒索病毒进入内网后对内网服务器进行RDP暴破，暴破成功后释放勒索病毒，加密文件。

防护建议

• 加强内部访问策略，禁止或限制个人电脑进入内网，如业务需要，增加访问控制策略
• 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口（如3389、445、139、135等）、防范漏洞利用等方式，提高系统安全基线，防范黑客入侵
• 加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查，禁止通过非官方渠道下载应用软件，及时修复漏洞、安装补丁，将信息安全工作常态化