近日，騰訊安全御見威脅情報中心監測發現，Crysis勒索病毒在國內傳播升級，感染數量呈上升趨勢，該病毒主要通過RDP弱口令爆破傳播入侵政企機構，加密重要數據，由于該病毒的加密破壞暫無法解密，被攻擊后將導致相關單位遭受嚴重損失。目前，騰訊電腦管家、騰訊御點終端安全管理系統均可攔截并查殺該病毒。

（圖：Crysis勒索病毒頁面）

根據騰訊安全御見威脅情報中心監測，今年8月以來Crysis勒索病毒家族及其Phobos衍生變種感染量明顯上升，受病毒影響的行業主要集中在傳統企業、政府機構和教育系統等，其中傳統企業是被攻擊的主要目標，占比達32%。

（圖：Crysis勒索病毒影響的行業分布）

本次安全事件中針對RDP的弱口令爆破是不法分子的常用伎倆。根據騰訊安全《2019上半年勒索病毒報告》顯示，弱口令爆破是目前最為流行的勒索攻擊手段，占比高達34%。由于一些管理員的安全意識薄弱，設置密碼簡單容易猜解，不法黑客們常常會利用sa弱口令，通過密碼字典進行猜解爆破登錄。另外騰訊安全《2019上半年企業安全報告》也指出，RDP協議爆破是不法黑客針對外網目標爆破攻擊的首選手段。

（圖：2019上半年勒索病毒入侵方式占比）

值得一提的是，早在2016年，騰訊安全御見威脅情報中心就已監測發現Crysis勒索病毒開始進行勒索活動；今年2月，其家族衍生Phobos系列變種開始逐漸活躍，不僅使用弱口令爆破進行挖礦，而且還利用“永恒之藍”等多個服務器組件漏洞發起攻擊，短時間在內網即可完成橫向擴張。自今年8月以來，以Crysis為代表的勒索病毒再度猖獗，并且將目標鎖定企事業單位和政府機構，影響力和破壞性顯著增強。攻擊者還是利用老辦法——弱口令對一些安全意識薄弱的企業服務器進行爆破攻擊，極易引發企業內服務器的大面積感染，進而造成業務系統癱瘓、關鍵業務信息泄露。

（圖：Crysis病毒家族的Phobos衍生變種）

盡管此次Crysis勒索病毒來勢洶洶，但是企業用戶也無需過于擔心，騰訊安全已提前展開追蹤和防御。針對該勒索病毒主要通過RDP（遠程桌面服務）爆破的特點，騰訊安全反病毒實驗室負責人馬勁松建議企業立即修改遠程桌面連接使用弱口令，復雜口令可以減少服務器被不法黑客爆破成功的機會。管理員應對遠程桌面服務使用的IP地址進行必要限制，或修改默認的3389端口為自定義，配置防火墻策略，阻止攻擊者IP連接。

另外，可以通過計算機組策略修改“帳戶鎖定策略”，限制登錄次數為3-10以內，防止不法黑客破解。具體操作步驟如下：運行gpedit.msc，打開組策略編輯器，在計算機設置->安全設置->帳戶策略->帳戶鎖定策略，將帳戶鎖定的閾值設定稍小一些。

此外，企業用戶可部署安裝騰訊御點終端安全管理系統及騰訊御界高級威脅檢測系統，可及時檢測針對企業內網的爆破攻擊事件，全方位、立體化保障企業用戶的網絡安全，阻止不法黑客入侵。對于個人用戶，建議實時開啟騰訊電腦管家等主流安全軟件加強防護，并啟用文檔守護者功能備份重要文檔，有效防御此類病毒攻擊，保護企業信息安全。