近日,国内部分单位计算机被最新变种的“勒索病毒”攻击,导致系统大面积瘫痪,造成不良影响。此次攻击与去年不同的是,去年“永恒之蓝”勒索病毒采用大面积撒网的方式进行传播。本次变种“勒索病毒”采取点对点人工渗透的方式进行攻击,首先有针对性的利用远程桌面漏洞、弱口令等安全漏洞攻破某个单位网络主机,再利用该主机扫描全网内未修补补丁的系统和主机,一旦发现存在勒索病毒漏洞,则植入木马进行破坏。较去年而言,此次攻击更具有针对性,造成影响更恶劣。
一、病毒基本情况
此次传播的病毒是Globelmposter2.0病毒家族的其中一种后缀格式,其他格式还有:(原文件名)后缀.GOTHAM;*.CHAK;*.GRANNY;*.SKUNK;*TRUE;*.SEXY;*.MAKGR;*.BIG1;*.LIN;*.BIIT;*reserve;*.BUNNY;*.FREEMAN;勒索通知信息文件为:how_to_back_files.html。此病毒主要针对企业,通过RDP远程桌面入侵施放病毒,病毒会加密本地磁盘与共享文件夹的所有文件。
二、防护措施
为降低“勒索病毒”可能对我校造成的不良影响,建议从以下6个方面开展安全防范工作:
(一)管理相关应用系统的部门及时提升系统的安全性,增强系统的对抗能力。从安全的技术、管理和运营等多个维度出发进行加强;
(二)及时发现网络主机存在的安全缺陷,修复高风险漏洞;
(三)及时给办公终端和服务器打补丁修复漏洞,包括操作系统及第三方应用的补丁;
(四)尽量关闭不必要的常见网络端口,例如:445,135,139,3389等;
(五)修改办公系统或服务器登录密码,并定期更换密码;
(六)对重要数据和文件及时进行备份,定期对电脑、移动存储介质进行木马病毒查杀。
三、处置建议
如发现系统已经感染病毒,可从以下5个方面开展工作:
(一)断开网络,预防感染计算机其他文件;
(二)结束病毒进程,安装杀毒软件,查杀病毒,预防二次中毒;
(三)备份加密数据。预防意外造成加密数据损坏无法解密;
(四)排查是否在局域网内有共享文件夹,建议取消共享;
(五)如发现感染,及时报告信息中心进行技术支持。
信息化建设与管理中心
2018年11月13日
位置: