近日,部分高校发生了勒索病毒攻击事件,为了加强防范工作,避免病毒危害,上级单位下发了加强防范勒索病毒攻击的通知。此次病毒木马涉及到多个变种,传播途径多样,包括利用系统漏洞、钓鱼邮件、网页挂马等。
例如,在某攻击邮件中会发送如下内容:
邮件标题为“你必须在 3 月 11 日下午 3 点向警察局报到!”
发件人邮箱为:Jae-hyun@idabostian.com
发件人名称:Min,Gap Ryong
如图:
运行附件内的恶意软件后,可以确认是 勒索病毒GandCrab V5.2 版本:
GandCrab 勒索病毒家族在国内传播广泛,曾使用鱼叉邮件、U 盘蠕虫、感染压缩包、下载器、远程桌面爆破、永恒之蓝、Web 服务器漏洞等各种方式传播,在 GandCrab V5.2 版本病毒的传播途径中又开启了网页挂马方式,据安全企业 360 威胁情报中心监测显示,精心构造的挂马网站会通过色情站点等广告联盟渠道进行传播,对访客实施网页挂马攻击。当 GandCrab 被执行后会对计算机内的文件进行高强度的加密,并需要限时支付赎金后才能恢复被加密的文件。由于不能获得作者的解密密钥,目前的加密实现上也还未找到可利用的漏洞,故GandCrab v5.2 版本暂时没有免费的解密方法和工具。
应对勒索病毒应急处置方法
按照上级单位的工作要求,信息与网络中心会即时组织技术力量对我校网站、信息系统等开展全面排查,排查相关风险隐患,升级邮件系统的防护策略,对勒索病毒邮件予以拦截;即时升级操作系统安全补丁,升级服务程序。
全校师生要做好对个人计算机和数据的防护工作。可以参考并执行如下操作:
u 升级Windows操作系统(可在百度中查找对应系统的升级方法);
u 在 Windows中禁用U盘的自动运行功能;
u 安装主流杀毒软件,定时升级病毒库,对相关系统进行全面扫描查杀;
u 不要打开来历不明的邮件,不要浏览非法网站(网页中可能含有木马病毒)。
如果有老师和学生发现自己计算机内文件被加密,请第一时间断开网络(可以拔掉网线或关掉WIFI),致电联系信网中心一站式服务热线:86608014,获取技术支持。
感谢您长期以来对学校网信工作的支持!
信息与网络中心
2019年3月29日