近日，國(guó)內(nèi)部分單位計(jì)算機(jī)被最新變種的“勒索病毒”攻擊，導(dǎo)致系統(tǒng)大面積癱瘓，造成不良影響。此次攻擊與去年不同的是，去年“永恒之藍(lán)”勒索病毒采用大面積撒網(wǎng)的方式進(jìn)行傳播。本次變種“勒索病毒”采取點(diǎn)對(duì)點(diǎn)人工滲透的方式進(jìn)行攻擊，首先有針對(duì)性的利用遠(yuǎn)程桌面漏洞、弱口令等安全漏洞攻破某個(gè)單位網(wǎng)絡(luò)主機(jī)，再利用該主機(jī)掃描全網(wǎng)內(nèi)未修補(bǔ)補(bǔ)丁的系統(tǒng)和主機(jī)，一旦發(fā)現(xiàn)存在勒索病毒漏洞，則植入木馬進(jìn)行破壞。較去年而言，此次攻擊更具有針對(duì)性，造成影響更惡劣。

一、病毒基本情況

此次傳播的病毒是Globelmposter2.0病毒家族的其中一種后綴格式，其他格式還有：（原文件名）后綴.GOTHAM;*.CHAK;*.GRANNY;*.SKUNK;*TRUE;*.SEXY;*.MAKGR;*.BIG1;*.LIN;*.BIIT;*reserve;*.BUNNY;*.FREEMAN;勒索通知信息文件為：how_to_back_files.html。此病毒主要針對(duì)企業(yè)，通過(guò)RDP遠(yuǎn)程桌面入侵施放病毒，病毒會(huì)加密本地磁盤(pán)與共享文件夾的所有文件。

二、防護(hù)措施

為降低“勒索病毒”可能對(duì)我校造成的不良影響，建議從以下6個(gè)方面開(kāi)展安全防范工作：

（一）管理相關(guān)應(yīng)用系統(tǒng)的部門(mén)及時(shí)提升系統(tǒng)的安全性，增強(qiáng)系統(tǒng)的對(duì)抗能力。從安全的技術(shù)、管理和運(yùn)營(yíng)等多個(gè)維度出發(fā)進(jìn)行加強(qiáng)；

（二）及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)主機(jī)存在的安全缺陷，修復(fù)高風(fēng)險(xiǎn)漏洞；

（三）及時(shí)給辦公終端和服務(wù)器打補(bǔ)丁修復(fù)漏洞，包括操作系統(tǒng)及第三方應(yīng)用的補(bǔ)丁；

（四）盡量關(guān)閉不必要的常見(jiàn)網(wǎng)絡(luò)端口，例如：445，135，139，3389等；

（五）修改辦公系統(tǒng)或服務(wù)器登錄密碼，并定期更換密碼；

（六）對(duì)重要數(shù)據(jù)和文件及時(shí)進(jìn)行備份，定期對(duì)電腦、移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行木馬病毒查殺。

三、處置建議

如發(fā)現(xiàn)系統(tǒng)已經(jīng)感染病毒，可從以下5個(gè)方面開(kāi)展工作：

（一）斷開(kāi)網(wǎng)絡(luò)，預(yù)防感染計(jì)算機(jī)其他文件；

（二）結(jié)束病毒進(jìn)程，安裝殺毒軟件，查殺病毒，預(yù)防二次中毒；

（三）備份加密數(shù)據(jù)。預(yù)防意外造成加密數(shù)據(jù)損壞無(wú)法解密；

（四）排查是否在局域網(wǎng)內(nèi)有共享文件夾，建議取消共享；

（五）如發(fā)現(xiàn)感染，及時(shí)報(bào)告信息中心進(jìn)行技術(shù)支持。

信息化建設(shè)與管理中心

2018年11月13日