近期，勒索病毒攻击形势更加严峻，已经对全球能源、金融等领域重要企业造成严重影响。由于勒索病毒加密信息难以恢复、攻击来源难以溯源，勒索病毒对现实世界威胁加剧，已成为全球广泛关注的网络安全难题。

为加强勒索病毒攻击防范应对，在工业和信息化部网络安全管理局指导下，中国信息通信研究院联合行业七家单位近日共同编制《勒索病毒安全防护手册》（以下简称《手册》），提出“3个环节、13条防护举措、45条实操细则”的勒索病毒攻击安全防护措施，指导防范和应对勒索病毒攻击。

2021年上半年，全球公开披露的勒索病毒攻击事件达1200余起，与2020年全年披露的勒索病毒攻击事件数量基本持平；国家工业互联网安全态势感知与风险预警平台监测发现勒索病毒恶意域名的访问量达5.05万次，同比增长超过10倍。与此同时，勒索病毒的攻击目标、攻击手段呈现新特点：一是瞄准行业重要信息系统，定向实施勒索病毒攻击；二是佯装勒索病毒攻击，掩盖真实网络攻击意图；三是针对工控系统专门开发勒索病毒，工业企业面临的攻击风险加剧；四是漏洞利用仍是攻击主要手段，引发勒索病毒传播一点突破、全面扩散；五是以虚拟化环境作为攻击跳板，双向渗透传播勒索病毒；六是经济利益驱动运作模式升级，初步形成勒索病毒黑产链条。

《手册》提出，按照核心防护措施、重要防护措施、一般防护措施，构建形成勒索病毒攻击安全防护框架，按照勒索病毒攻击“事前、事中、事后”三个阶段，从管理、技术两个方面防范化解攻击风险：

事前夯实防范基础。制定网络安全应急预案，建立内部涵盖勒索病毒攻击等网络安全突发事件的应急组织体系和管理机制，加强勒索病毒攻击应对统筹管理，明确工作原则、职责分工、应急流程、关键措施等。加强组织内部网络安全管理。在网络隔离、资产管理等方面采取措施。部署专业网络安全产品。在终端侧、网络侧等部署网络安全产品，并日常排查设备告警情况；在网络侧，部署流量监测、阻断等类型的网络安全设备，加强针对勒索病毒的监测、溯源等。提升用户网络安全意识。以培训、演练等提高用户网络安全意识，在用户层面切断勒索病毒传播的途径。做好重要数据备份工作。根据文件和数据的重要程度分类分级进行存储和备份。

事中做好应急响应。隔离勒索病毒感染设备。确认遭受勒索病毒攻击后，应采取断网、关机等方式隔离感染设备。排查勒索病毒感染范围。在已经隔离感染设备的情况下，对数据备份、网络分布、信息泄露等情况进行排查，并检查核心业务是否遭受攻击。研判勒索病毒攻击事件。借助工具对感染的勒索病毒勒索信息、加密文件、桌面背景、可疑样本、弹窗信息等进行分析，或求助网络安全专业人员对勒索病毒感染时间、传播方法、感染种类等进行排查，确定感染的勒索病毒类型，便于尝试进行病毒破解等。尝试进行勒索病毒破解。在确定勒索病毒类型的基础上，尝试利用勒索病毒本身加密特性、流程等进行破解，进而恢复遭到加密的全部或部分数据。

事后实施安全加固。利用备份数据进行恢复。根据遭受勒索病毒攻击相关设备数据备份的情况，按照数据恢复要求备份日志，衡量数据恢复时间成本、数据重要程度，确认数据恢复范围、顺序及备份数据版本，利用离线、异地、云端等备份数据进行恢复。更新网络安全管理措施。根据勒索病毒攻击事件暴露出的问题，有针对性地修订完善网络安全管理制度，做好攻击预警和处置。加强网络安全隐患修补。在消除勒索病毒攻击影响的情况下，开展网络安全隐患排查和修补。