近日，部分高校发生了勒索病毒攻击事件，为了加强防范工作，避免病毒危害，上级单位下发了加强防范勒索病毒攻击的通知。此次病毒木马涉及到多个变种，传播途径多样，包括利用系统漏洞、钓鱼邮件、网页挂马等。

例如，在某攻击邮件中会发送如下内容：

邮件标题为“你必须在 3 月 11 日下午 3 点向警察局报到!”

发件人邮箱为：Jae-hyun@idabostian.com

发件人名称：Min,Gap Ryong

如图：

运行附件内的恶意软件后，可以确认是 勒索病毒GandCrab V5.2 版本：

GandCrab 勒索病毒家族在国内传播广泛，曾使用鱼叉邮件、U 盘蠕虫、感染压缩包、下载器、远程桌面爆破、永恒之蓝、Web 服务器漏洞等各种方式传播，在 GandCrab  V5.2 版本病毒的传播途径中又开启了网页挂马方式，据安全企业 360 威胁情报中心监测显示，精心构造的挂马网站会通过色情站点等广告联盟渠道进行传播，对访客实施网页挂马攻击。当 GandCrab 被执行后会对计算机内的文件进行高强度的加密，并需要限时支付赎金后才能恢复被加密的文件。由于不能获得作者的解密密钥，目前的加密实现上也还未找到可利用的漏洞，故GandCrab v5.2 版本暂时没有免费的解密方法和工具。

应对勒索病毒应急处置方法

按照上级单位的工作要求，信息与网络中心会即时组织技术力量对我校网站、信息系统等开展全面排查，排查相关风险隐患，升级邮件系统的防护策略，对勒索病毒邮件予以拦截；即时升级操作系统安全补丁，升级服务程序。

全校师生要做好对个人计算机和数据的防护工作。可以参考并执行如下操作：

u 升级Windows操作系统（可在百度中查找对应系统的升级方法）；

u 在 Windows中禁用U盘的自动运行功能；

u 安装主流杀毒软件，定时升级病毒库，对相关系统进行全面扫描查杀；

u 不要打开来历不明的邮件，不要浏览非法网站（网页中可能含有木马病毒）。

如果有老师和学生发现自己计算机内文件被加密，请第一时间断开网络（可以拔掉网线或关掉WIFI），致电联系信网中心一站式服务热线：86608014，获取技术支持。

感谢您长期以来对学校网信工作的支持！

信息与网络中心

2019年3月29日