近日，國內部分單位計算機被最新變種的“勒索病毒”攻擊，導致系統大面積癱瘓，造成不良影響。此次攻擊與去年不同的是，去年“永恒之藍”勒索病毒采用大面積撒網的方式進行傳播。本次變種“勒索病毒”采取點對點人工滲透的方式進行攻擊，首先有針對性的利用遠程桌面漏洞、弱口令等安全漏洞攻破某個單位網絡主機，再利用該主機掃描全網內未修補補丁的系統和主機，一旦發現存在勒索病毒漏洞，則植入木馬進行破壞。較去年而言，此次攻擊更具有針對性，造成影響更惡劣。

一、病毒基本情況

此次傳播的病毒是Globelmposter2.0病毒家族的其中一種后綴格式，其他格式還有：（原文件名）后綴.GOTHAM;*.CHAK;*.GRANNY;*.SKUNK;*TRUE;*.SEXY;*.MAKGR;*.BIG1;*.LIN;*.BIIT;*reserve;*.BUNNY;*.FREEMAN;勒索通知信息文件為：how_to_back_files.html。此病毒主要針對企業，通過RDP遠程桌面入侵施放病毒，病毒會加密本地磁盤與共享文件夾的所有文件。

二、防護措施

為降低“勒索病毒”可能對我校造成的不良影響，建議從以下6個方面開展安全防范工作：

（一）管理相關應用系統的部門及時提升系統的安全性，增強系統的對抗能力。從安全的技術、管理和運營等多個維度出發進行加強；

（二）及時發現網絡主機存在的安全缺陷，修復高風險漏洞；

（三）及時給辦公終端和服務器打補丁修復漏洞，包括操作系統及第三方應用的補丁；

（四）盡量關閉不必要的常見網絡端口，例如：445，135，139，3389等；

（五）修改辦公系統或服務器登錄密碼，并定期更換密碼；

（六）對重要數據和文件及時進行備份，定期對電腦、移動存儲介質進行木馬病毒查殺。

三、處置建議

如發現系統已經感染病毒，可從以下5個方面開展工作：

（一）斷開網絡，預防感染計算機其他文件；

（二）結束病毒進程，安裝殺毒軟件，查殺病毒，預防二次中毒；

（三）備份加密數據。預防意外造成加密數據損壞無法解密；

（四）排查是否在局域網內有共享文件夾，建議取消共享；

（五）如發現感染，及時報告信息中心進行技術支持。

信息化建設與管理中心

2018年11月13日