耗子尾汁，這七種方式可能讓你成為勒索軟體受害者！

勒索軟體最近再次出現在新聞中。據報導，駭客們的目標是醫療服務提供者，他們透過偽裝成會議邀請或發票的釣魚活動，將谷歌檔案連結到pdf檔案中，這些檔案連結到簽名的可執行檔案，這些可執行檔案的名稱帶有“ preview”和“ test”等特殊單詞。

一旦勒索軟體進入系統，攻擊者就會追捕我們網路上留下的低垂的果實，以橫向移動並造成更大的破壞。這種簡單的訪問是可以避免的，並且可能是由於過時的設定、被遺忘的設定或過時的策略而導致的。你可以透過以下方法檢查Windows的七個常見漏洞，防止勒索軟體攻擊者使你和你的團隊難堪。

1.密碼儲存在組策略選項中

你是否曾經在組策略首選項中儲存密碼?2014年，MS14-025修補了組策略首選項，並刪除了不安全地儲存密碼的功能，但沒有刪除密碼。勒索軟體攻擊者使用PowerShell指令碼Get-GPPPassword獲取遺留的密碼。

檢視你的組策略首選項，以檢視你的組織是否曾經以這種方式儲存密碼。想想你在指令碼或批處理檔案中留下憑據的任何其他時間。檢視管理過程、記事本檔案、暫存器位置和其他不受保護的檔案中遺留的密碼。

2.使用遠端桌面協議

你仍然使用不安全且不受保護的遠端桌面協議(RDP)嗎?有報告顯示，攻擊者使用蠻力和收集的憑據闖入了開放網路的RDP。使用遠端桌面設定伺服器，虛擬機器甚至Azure伺服器非常容易。啟用遠端桌面時至少沒有最低限度的保護，例如限制對特定靜態IP地址的訪問，不使用RDgateway保護來保護連線或未設定雙因素身份驗證，這意味著你面臨著遭受攻擊者控制網路的風險。

3.密碼重複使用

你或你的使用者經常重複使用密碼嗎?攻擊者可以訪問線上資料轉儲位置中已獲取的密碼。知道我們經常重複使用密碼，攻擊者會以各種攻擊序列的形式對網站和帳戶以及域和Microsoft 365訪問使用這些憑據。

確保已在組織中啟用多因素身份驗證是阻止此類攻擊的關鍵。使用密碼管理器程式可以鼓勵使用更好和更獨特的密碼。另外，許多密碼管理器會在使用者名稱和密碼重複組合時進行標記。

4. 未修補的特權升級漏洞

你能讓攻擊者輕鬆地橫向移動嗎?最近，攻擊者一直在使用幾種方式進行橫向移動，比如名為ZeroLogon的CVE-2020-1472 NetLogon漏洞，以提升域控制器上的特權，這些域控制器缺乏最新的安全補丁。微軟最近表示，攻擊者正在試圖利用這個漏洞。

5. 啟用SMBv1

即使您已經為已知的伺服器訊息塊版本1 (SMBv1)漏洞應用了所有補丁，攻擊者也可能有其他漏洞可以利用。當安裝Windows 10 1709或更高版本時，預設情況下SMBv1是不啟用的。如果SMBv1客戶端或伺服器15天不使用(不包括計算機關閉的時間)，Windows 10會自動解除安裝該協議。

SMBv1協議已經有30多年的歷史了，你應該放棄使用它。有多種方法可以從網路禁用和刪除SMBv1，從組策略到PowerShell和登錄檔鍵。

6. 電子郵件保護不足

你是否已經竭盡所能確保你的電子郵件(攻擊者的關鍵入口)免受威脅?攻擊者經常透過垃圾郵件進入網路。所有的組織都應該使用電子郵件安全服務來掃描和審查進入你網路的資訊。在你的電子郵件伺服器前有一個過濾過程。無論這個過濾器是office365高階威脅保護(ATP)還是第三方解決方案，都應該在你的電子郵件前提供一項服務，以評估郵件傳送者的聲譽、掃描連結和評論內容。檢查你以前設定的電子郵件安全情況。如果你使用Office/Microsoft 365，請檢視安全分數和ATP設定。

7. 未經培訓的使用者

最後也是非常重要的一點，確保對你的使用者進行培訓。惡意郵件經常進入我的收件箱，即使有所有適當的ATP設定。稍微有點偏執和受過教育的終端使用者都可以成為你的最終防火牆，以確保惡意攻擊不會進入你的系統。ATP包括透過測試來看你的使用者是否會受到釣魚攻擊。

Troy Hunt最近寫了一篇文章，關於瀏覽器中如何透過使用的字型判斷是好網站還是惡意網站。他指出，密碼管理器將自動驗證網站，並提議只為那些與你的資料庫匹配的網站填寫密碼。