近日，国内安全威胁情报中心监测到新型勒索病毒Clop在国内开始传播，国内某企业被攻击后造成大面积感染，致该受害企业大量数据被加密而损失严重，提醒各政府企业单位注意防范。勒索病毒攻击是以服务器定向攻击为主，辅以撒网式无差别攻击手段。与其他勒索病毒不同，也是最可怕的地方是：Clop勒索病毒部分情况下携带了有效的数字签名，数字签名滥用，冒用以往情况下多数发生在流氓软件，窃密类攻击程序中。勒索病毒携带有效签名的情况极为少见，这意味着该病毒在部分拦截场景下更容易。

传播途径

据火绒监测，勒索病毒主要通过三种途径传播：漏洞、邮件和广告推广。 通过漏洞发起的攻击占攻击总数的87.7%。由于win7、xp等老旧系统存在大量无法及时修复的漏洞，而政府、企业、学校、医院等局域网机构用户使用较多的恰恰是win7、xp等老旧系统，因此也成为病毒攻击的重灾区，病毒可以通过漏洞在局域网中无限传播。相反，win10系统因为强制更新，几乎不受漏洞攻击的影响。 通过邮件与广告推广的攻击分别为7.4%、3.9%。虽然这两类传播方式占比较少，但对于有收发邮件、网页浏览需求的企业而言，依旧会受到威胁。 此外，对于某些特别依赖U盘、记录仪办公的局域网机构用户来说，外设则成为勒索病毒攻击的特殊途径。

应对方案

根据勒索病毒的特点可以判断，其变种通常可以隐藏特征，但却无法隐藏其关键行为，经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面：
1、通过脚本文件进行Http请求；
2、通过脚本文件下载文件；
3、读取远程服务器文件；
4、收集计算机信息；
5、遍历文件；
6、调用加密算法库。

东胜软件提醒各位用户，为防止用户感染该类病毒，我们可以从安全技术和安全管理两方面入手：
1、不要打开陌生人或来历不明的邮件，防止通过邮件附件的攻击；
2、尽量不要点击office宏运行提示，避免来自office组件的病毒感染；
3、需要的软件从正规（官网）途径下载，不要双击打开.js、.vbs等后缀名文件；
4、升级到最新的防病毒等安全特征库；
5、升级防病毒软件到最新的防病毒库，阻止已存在的病毒样本攻击；
6、定期异地备份计算机中重要的数据和文件，万一中病毒可以进行恢复。
7、如果允许外网登录的，尽量设置复杂的服务器密码，如遇紧急东胜系统问题请及时联系客服处理。