勒索软件补丁

windows⽇志重要事件id_Windows⽹络做到这⼏点，再⽜逼的

勒索软件也拿你没办法...

知名汽车制造商本⽥近⽇收到勒索软件攻击，其客户服务和⾦融服务均受到不同程度影响。有安全公司对此次勒索软件攻击事件进⾏了调

查，根据在VirusTotal数据库中发现的样本显⽰，该公司似乎已经成为Snake勒索软件的攻击⽬标。通过这⼀事件，我们可以进⾏⼀些思

考，⽤户应该如何更好地保护Windows⽹络免受勒索软件攻击。

根据安全专家介绍，该恶意软件是通过⼀个名为的⽂件发起的。调⽤扩展名为.bat的恶意⽂件意味着警报⼯具将看到⽹络中使⽤

了脚本或批处理⽂件。在许多环境中，这将是⼀个被允许的⽂件。

攻击者使⽤了⼀个名为的⽂件进⾏攻击。这很有趣，因为微软知识库号3020369是⽤于Windows7服务栈补丁的。但

是，实际补丁的⽂件名不是,⽽是。攻击者将恶意⽂件命名为⼀种模式，在技术专

业⼈员⾯前进⾏隐藏。

Snake勒索软件从受感染的系统中移除卷影副本，然后杀死与虚拟机、⼯业控制系统、远程管理⼯具和⽹络管理软件相关的进程。第三⽅研

究⼈员在⼀份攻击分析报告中指出，攻击序列是为了解决本⽥域内的域。这表明攻击者的⽬标是本⽥⽹络。

攻击者往往会选择薄弱环节下⼿，那就是⼈员。他们会隐藏在⽹络中，直到他们准备好攻击，这个过程或许长达数⽉之久。这还不包括攻击

者在⽹络基础设施上进⾏侦察所花费的时间。

以本⽥遭受的勒索软件为案例，⽤户该如何更好地保护Windows⽹络:

注意未授权的⼯具、脚本和组策略设置

⽹络安全专家介绍，有些攻击是使⽤了⼀个预定的任务。⽤户可以在事件⽇志中查看类似的未经授权的活动。按照以下步骤检查本机

Windows事件⽇志:

1、运⾏

2、进⼊“Windows⽇志”。

3、右键单击“安全⽇志”，然后单击选择“属性”。

4、确保选择了“启⽤⽇志记录(Enablelogging)”。

5、将⽇志⼤⼩增加到⾄少1GB。

6、查找事件4698事件ID以查找最新的计划任务。

您可以设置⼀个PowerShell任务，以便在创建和运⾏新的计划任务时发送电⼦邮件通知。您可能需要第三⽅SMTP服务(如)

来设置警报。此外您可以使⽤其他⽅法来设置通知，或者查看您的审计软件是否提供这样的内置服务。

识别容易受到钓鱼攻击的员⼯

给关键⽤户(特别是域管理员)的有趣的⾃定义电⼦邮件可以为攻击者提供进⼊⽹络内部的途径。尤其是在家办公，意味着使⽤更多的远程访

问技术。相⽐操作系统的漏洞，标识符是2020年容易实现的⽬标。

检查您提供给关键员⼯的许可和⼯具。⽤户可以在公司内部混合和匹配Microsoft365许可，以便不是每个⼈都需要使⽤相同的许可或相同

级别的保护。回顾包含⾼级威胁防护(ATP)的Microsoft365E5许可证的需求，该服务最近在启⽤ATP的机器中包含了UEFI恶意软件检测

器。正如微软最近指出的，“新的UEFI扫描器在运⾏时通过与主板芯⽚组交互读取固件⽂件系统。“MicrosoftDefenderATP也提供了

⼀个可执⾏的操作列表:

检查组策略域和脚本⽂件夹中是否存在恶意⽂件

攻击者通常会从管理员⽤来管理⽹络的位置发起攻击。花点时间来验证您保存的⽂件和脚本位置。检查添加到⽤于管理的⽂件夹中的任何新

⽂件。检查⽂件夹的适当权限，以确保只有经过授权的⽤户才能添加或调整这些管理脚本。

对特权帐户使⽤多因素⾝份验证

最为重要的是，要确保域管理员在需要远程访问时启⽤了多因素⾝份验证(MFA)。同时也为Microsoft365帐户启⽤MFA。检查你的⽹络

中在什么位置使⽤了哪些账号。

查看备份策略

拥有⼀个良好的备份，你可以恢复被勒索软件锁定的⽂件且⽆需⽀付赎⾦。定期进⾏⾃动备份，并确保备份受到保护。执⾏备份过程的⽤户

帐户不应与登录的⽤户相同。最后，在你的旋转中有⼀个离线备份过程，这样媒体就可以离线或离线，防⽌攻击者删除备份⽂件。再次强调:

拥有备份是从勒索软件攻击中恢复的关键。

作者：⾼博