近日，國內(nèi)部分單位計算機被最新變種的“勒索病毒”攻擊，導(dǎo)致系統(tǒng)大面積癱瘓，造成不良影響。此次攻擊與去年不同的是，去年“永恒之藍”勒索病毒采用大面積撒網(wǎng)的方式進行傳播。本次變種“勒索病毒”采取點對點人工滲透的方式進行攻擊，首先有針對性的利用遠程桌面漏洞、弱口令等安全漏洞攻破某個單位網(wǎng)絡(luò)主機，再利用該主機掃描全網(wǎng)內(nèi)未修補補丁的系統(tǒng)和主機，一旦發(fā)現(xiàn)存在勒索病毒漏洞，則植入木馬進行破壞。較去年而言，此次攻擊更具有針對性，造成影響更惡劣。

一、病毒基本情況

此次傳播的病毒是Globelmposter2.0病毒家族的其中一種后綴格式，其他格式還有：（原文件名）后綴.GOTHAM;*.CHAK;*.GRANNY;*.SKUNK;*TRUE;*.SEXY;*.MAKGR;*.BIG1;*.LIN;*.BIIT;*reserve;*.BUNNY;*.FREEMAN;勒索通知信息文件為：how_to_back_files.html。此病毒主要針對企業(yè)，通過RDP遠程桌面入侵施放病毒，病毒會加密本地磁盤與共享文件夾的所有文件。

二、防護措施

為降低“勒索病毒”可能對我校造成的不良影響，建議從以下6個方面開展安全防范工作：

（一）管理相關(guān)應(yīng)用系統(tǒng)的部門及時提升系統(tǒng)的安全性，增強系統(tǒng)的對抗能力。從安全的技術(shù)、管理和運營等多個維度出發(fā)進行加強；

（二）及時發(fā)現(xiàn)網(wǎng)絡(luò)主機存在的安全缺陷，修復(fù)高風(fēng)險漏洞；

（三）及時給辦公終端和服務(wù)器打補丁修復(fù)漏洞，包括操作系統(tǒng)及第三方應(yīng)用的補丁；

（四）盡量關(guān)閉不必要的常見網(wǎng)絡(luò)端口，例如：445，135，139，3389等；

（五）修改辦公系統(tǒng)或服務(wù)器登錄密碼，并定期更換密碼；

（六）對重要數(shù)據(jù)和文件及時進行備份，定期對電腦、移動存儲介質(zhì)進行木馬病毒查殺。

三、處置建議

如發(fā)現(xiàn)系統(tǒng)已經(jīng)感染病毒，可從以下5個方面開展工作：

（一）斷開網(wǎng)絡(luò)，預(yù)防感染計算機其他文件；

（二）結(jié)束病毒進程，安裝殺毒軟件，查殺病毒，預(yù)防二次中毒；

（三）備份加密數(shù)據(jù)。預(yù)防意外造成加密數(shù)據(jù)損壞無法解密；

（四）排查是否在局域網(wǎng)內(nèi)有共享文件夾，建議取消共享；

（五）如發(fā)現(xiàn)感染，及時報告信息中心進行技術(shù)支持。

信息化建設(shè)與管理中心

2018年11月13日