WannaCry(又叫Wanna Decryptor)，是一种性质恶劣、危害极大的电脑病毒，主要通过邮件、木马、网页挂马等形式进行传播。由于这种病毒利用各种加密算法对文件进行加密，一旦感染一般无法解密，必须拿到私钥才能破解。新统计数据显示，100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。勒索病毒是自熊猫烧香以来影响力大的病毒之一。

　　WannaCry主要利用了微软“视窗”系统的漏洞，以获得自动传播的能力，能够在数小时内感染一个系统内的全部电脑。该病毒的受害者大都是行业机构和大型企业，如果政府、企业及医院不注重日常计算机及网络的安全防护，则后果不堪设想!今天我们就一起来学习如何在日常避免病毒的感染，及企业应购买哪些产品来保护信息安全。

　　日常运维

　　1. 尽量关闭不必要的端口，如:445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆;

　　2. 尽量关闭不必要的文件共享;

　　3. 采用高强度的密码，避免使用弱口令密码，并定期更换密码;

　　4. 不要点击来源不明的邮件以及附件;

　　5. 及时更新系统，更新应用程序，打全系统及应用程序补丁程序;

　　6. 请注意备份重要文档。备份的佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储。

　　事前防御

　　务必将所有控制点实施深度防御以阻止勒索软件传播。

　　下面为大家介绍几款赛门铁克的产品，为您的安全保驾护航!

　　终端：Symantec Endpoint Protection & ATP: Endpoint (EDR)

　　EDR可以通过深度监控、精准分析和工作流程自动化加快威胁搜索和响应。

　　运用人工智能驱动的分析、调查手册和无可匹敌的威胁情报，及时检测、搜索、隔离和消除所有端点的威胁入侵。

　　• 高级机器学习技术可检测多态恶意软件

　　• 模拟器可解压躲避式恶意软件，同时行为分析可揭示勒索软件活动

　　• IPS 会阻止勒索软件下载加密密钥的企图

　　• 检测到勒索软件时隔离端点，从而避免横向移动

　　• 在所有端点搜索勒索软件感染迹象

　　Email：Symantec Messaging Gateway

　　强大的高级威胁防护和反垃圾邮件解决方案全面保护您的本地电子邮件安全。

　　• 在文件或文档内执行恶意迹象静态分析

　　• 发送电子邮件前触发沙盒中潜在的恶意脚本，一旦出现恶意行为迹象立即阻断

　　• 发送电子邮件前采用实时链接追踪技术阻止恶意链接，并在邮件投递后单击链接时立即进行分析

　　Web：Symantec Secure Web Gateway

　　一款高级网络安全云服务，可对所有用户实施一致的网络安全和合规策略，不受任何位置和设备限制。

　　• 阻断恶意站点，包括命令和控制服务器以及加密服务器

　　• 利用多层防护技术和实时威胁馈送，分析来自未知 URL 的文件是否存在可疑行为，从而判断是否存在勒索软件活动

　　• 恶意软件分析可查找是否存在勒索软件特定行为，并在发送前触发沙盒中的未知文件

　　工作负载：Symantec Data Center Security: Server Advanced

　　整套的服务器防护、监控和工作负载微分段，适用于私有云和本地数据中心环境。

　　• 预置的 IPS 规则可防止勒索软件在系统上安装或执行可执行文件

　　• 未采用全面 IPS 防护的客户可部署策略以拦截特定的恶意软件可执行文件

　　• 应用其他规则拦截所有进站/出站 SMB 通信

　　• 还可向全局非运行列表添加可执行文件哈希值来阻止勒索软件

　　事后应急处理

　　如果不幸感染了病毒，将已中毒的机器尽快断网，使用杀毒软件进行查杀。

　　Symantec套件

　　• 已有SEP的客户,建议开启SEP IPS模块，查找和阻止勒索病毒扩散。

　　• 推荐购买ATP或者CAS进行网络层的安全防护。

　　• 针对自建的邮箱服务器，推荐购买SMG进行邮件安全防护。

　　• 针对服务器无法及时打补丁的情况,推荐客户购买DCS:SA进行服务器的安全加固。