图：瑞星ESM防病毒终端安全防护系统查杀Sfile勒索软件

图：攻击者发布的勒索信

• 限制可使用RDP的用户，仅将远程访问授权给那些必须用它来执行工作的人。
• 建立双重验证，如Windows平台下的Duo Security MFA或Linux平台google-authenticator等认证程序。
• 设置访问锁定策略，通过配置账户锁定策略，调整账户锁定阀值与锁定持续时间等配置可以有效抵御一定时间下高频的暴力破解。
• 审视RDP的使用需求，如果业务不需要使用它，那么可以将所有RDP端口关闭，也可以仅在特定时间之间打开端口。
• 重新分配RDP端口，可考虑将默认RDP端口更改为非标准的端口号，可避免一部分恶意软件对特定RDP端口的直接攻击，仍需另外部署端口扫描攻击防范措施。
• 定期检查、修补已知的RDP相关漏洞。
• 创建防火墙规则限制远程桌面的访问，以仅允许特定的IP地址。
• RDP的登陆，应使用高强度的复杂密码以降低弱口令爆破的机会。

• 及时更新软件及系统补丁。
• 定期备份重要数据。
• 开启并保持杀毒软件及勒索防护软件功能的正常。
• 定期修改管理员密码并使用复杂度较高的密码。
• 开启显示文件扩展名，防范病毒程序伪装应用程序图标。

• 非必要时可关闭局域网共享文件或磁盘，防止病毒横向传播。
• 对局域网共享文件夹设置指定用户的访问权限，防止不必要的权限遭到病毒滥用。
• 通过防火墙规则限制如445、3389端口/关闭445、3389端口或是修改端口号，防止病毒通过扫描端口等方式查询区域资产信息。