近日，某公司安裝部署“火絨終端安全管理系統1.0”（以下簡稱“火絨企業版”）后，通過火絨日志發現大量攔截病毒記錄，向火絨求助。火絨工程師遠程分析日志后發現，該公司服務器近期頻繁遭到黑客入侵，企圖運行勒索病毒，但均被火絨攔截。隨后，火絨工程師在幫助用戶做全面排查過程中又發現了木馬病毒，經查看該病毒入侵日期在部署“火絨企業版“之前，推測該公司在此前還曾遭遇過黑客入侵，得到用戶確認。最終，火絨工程師指導該公司使用“火絨企業版”下發“全盤查殺“命令后清理了服務器中殘留的病毒，徹底解決了黑客入侵的問題。

相關病毒

某公司在“火絨企業版”中心日志中發現服務器上有大量攔截日志，聯系火絨工程師進行排查。查看后發現，有黑客在該公司服務器中實施勒索攻擊，被火絨成功攔截。

被火絨攔截的黑客入侵時間為9月份。黑客使用的賬戶為域管理員賬戶，此賬戶密碼已經泄露。黑客曾試圖執行上傳到用戶服務器的滲透腳本、黑客工具、勒索病毒均被火絨文件實時監控攔截，并在中心日志中記錄。

因為用戶使用火絨設置了管理員密碼，黑客無法退出火絨保護，更無法繞過火絨文件監控的查殺，最終只得放棄勒索。用戶企業數據安全和業務均未受到此次攻擊影響。對于用戶已經泄露的賬戶和密碼火絨工程師也給予了相應的安全建議。

值得注意的是，在火絨工程師處理的多起企業被入侵事件中，因為管理員密碼泄露和被暴力破解導致的事件占據很大比例，可見大部分企業管理員對高權限賬戶密碼的使用存在問題。這也是該公司9月份安全事件的主要問題。

隨后火絨工程師指導用戶全網部署火絨終端，在使用“火絨企業版”進行全盤安全檢測時發現服務器中存在木馬病毒，根據文件創建時間推斷早在5月份（未部署“火絨企業版“）就已經有黑客成功入侵過服務器。隨后用戶確認，該公司確實在今年5月曾遭到入侵并感染勒索病毒。

被加密的文件

殘留木馬

這些殘存的木馬病毒會通過共享在內網進行傳播，并竊取系統信息等數據，同時進行弱口令爆破。最終火絨工程師指導該公司對所有部署火絨終端的服務器下發“全盤查殺“命令清除了殘留的木馬病毒。

如今"黑客入侵+勒索病毒"惡性攻擊事件日漸增多，主要攻擊目標為各大政企單位，一旦攻擊成功將損失慘重。企業的安全管理員通過定期檢測，設置合理的安全軟件策略，可以很大程度上降低類似安全事故發生的概率。因此火絨工程師對已經部署“火絨企業版”的企業有以下安全建議：

1. 在火絨中心內對外網、業務等服務器單獨分組并應用策略，以便后期進行維護，關閉不需要的系統服務、默認共享，并使用火絨"IP協議控制"功能限制高危端口；

2. 在火絨中心內，啟用"管理員密碼保護"、"防止終端卸載密碼保護"，保證火絨正常運行；

3. 使用火絨"漏洞修復"功能定期安裝補丁，保護終端不受Windows漏洞影響；

4. 員工使用移動設備時，遵循“先查殺，后使用”的原則，避免感染通過移動設備傳播的蠕蟲病毒；

5. Windows與服務賬戶，賬戶密碼需符合密碼安全性要求，不要存在賬戶空口令或弱口令的情況。組策略內配置"賬戶鎖定閾值",賬戶登錄失敗次數過多時鎖定；

6. 對重要數據進行異地備份，定期審查火絨與Windows日志，定期下發查殺任務，發現異常時，及時聯系安全公司，對網絡內異常進行排查。

7. “火絨企業版”用戶可以隨時聯系火絨工程師，獲取更多專業、有效的防御策略。