根据安全专家介绍，该恶意软件是通过一个名为nmon.bat的文件发起的。调用扩展名为.bat的恶意文件意味着警报工具将看到网络中使用了脚本或批处理文件。在许多环境中，这将是一个被允许的文件。

攻击者使用了一个名为KB3020369.exe的文件进行攻击。这很有趣，因为微软知识库号3020369是用于Windows 7服务栈补丁的。但是，实际补丁的文件名不是KB3020369.exe,而是Windows6.1-KB3020369-x64.msu。攻击者将恶意文件命名为一种模式，在技术专业人员面前进行隐藏。

Snake勒索软件从受感染的系统中移除卷影副本，然后杀死与虚拟机、工业控制系统、远程管理工具和网络管理软件相关的进程。第三方研究人员在一份攻击分析报告中指出，攻击序列是为了解决本田域内的域。这表明攻击者的目标是本田网络。

攻击者往往会选择薄弱环节下手，那就是人员。他们会隐藏在网络中，直到他们准备好攻击，这个过程或许长达数月之久。这还不包括攻击者在网络基础设施上进行侦察所花费的时间。

以本田遭受的勒索软件为案例，用户该如何更好地保护Windows网络：

注意未授权的工具、脚本和组策略设置

网络安全专家介绍，有些攻击是使用了一个预定的任务。用户可以在事件日志中查看类似的未经授权的活动。按照以下步骤检查本机Windows事件日志：

• 运行eventvwr.msc
• 进入“Windows日志”。
• 右键单击“安全日志”，然后单击选择“属性”。
• 确保选择了“启用日志记录(Enable logging)”。
• 将日志大小增加到至少1 GB。
• 查找事件4698事件ID以查找最新的计划任务。

您可以设置一个PowerShell任务，以便在创建和运行新的计划任务时发送电子邮件通知。您可能需要第三方SMTP服务(如smtp2go.com)来设置警报。此外您可以使用其他方法来设置通知，或者查看您的审计软件是否提供这样的内置服务。

识别容易受到钓鱼攻击的员工

给关键用户(特别是域管理员)的有趣的自定义电子邮件可以为攻击者提供进入网络内部的途径。尤其是在家办公，意味着使用更多的远程访问技术。相比操作系统的漏洞，标识符是2020年容易实现的目标。