勒索軟件對(duì)企業(yè)數(shù)據(jù)有著毀滅性的破壞力，而且企業(yè)中了勒索病毒后，如果沒(méi)有相關(guān)的數(shù)據(jù)備份，要么承擔(dān)損失，要么只能支付贖金。因此勒索軟件的種類(lèi)和擴(kuò)散逐年遞增，防御勒索軟件工作成為了企業(yè)數(shù)據(jù)安全防護(hù)工作中的眾矢之的。

勒索軟件的傳播途徑和工作原理主要有兩種：

1). 通過(guò)攻擊windows服務(wù)器漏洞入侵到企業(yè)內(nèi)網(wǎng)，然后再進(jìn)行大面積的攻擊感染。

2). 通過(guò)郵件、網(wǎng)站掛馬、文件等方式，先感染個(gè)人電腦，然后攻擊整個(gè)局域網(wǎng)。

目前最廣泛的是第一種傳播方式，一些企事業(yè)單位為了工作方便，把服務(wù)器的3389端口、文件共享端口都映射到互聯(lián)網(wǎng)，就等于給黑客開(kāi)了一個(gè)后門(mén)。攻擊者的掃描程序一旦掃描到這些端口，就可以發(fā)起攻擊。

所以，對(duì)勒索軟件的防范，主要考慮以下方面（以WSG上網(wǎng)行為管理為例）：

1. 用防火墻策略禁止相關(guān)端口

如下圖，用防火墻策略，把135,137,138,139,445,3389端口都屏蔽掉。

2. 阻止來(lái)自國(guó)外的連接

攻擊者的IP大部分都是來(lái)自國(guó)外，所以我們只要把國(guó)外的IP都屏蔽了，即可在源頭上屏蔽掉絕大部分攻擊。如圖：

3. 開(kāi)啟入侵檢測(cè)和防御

入侵檢測(cè)模塊可以檢測(cè)勒索軟件的攻擊，一旦發(fā)現(xiàn)有攻擊數(shù)據(jù)，立刻禁止其連入，從而阻止后續(xù)的攻擊手段。如下圖：

上面的幾條措施，都是在網(wǎng)絡(luò)層面來(lái)阻擋勒索軟件的攻擊，只要進(jìn)行上述的配置，已經(jīng)可以切斷80%以上的攻擊來(lái)源。但是，您還需要注意防范通過(guò)郵件、文件拷貝的病毒傳播，建議通過(guò)在電腦上安裝殺毒軟件來(lái)進(jìn)行單機(jī)的保護(hù)。