第一篇:关于勒索病毒的报告
关于勒索病毒的报告
如果您对网络安全方面的新闻有所关注,应该听说多家公司受到勒索软件,特别是“Locky”的影响,其中不乏国内知名公司。这款勒索软件于今年二月露面并迅速成长为全球第二大勒索软件系列,排名仅次于CryptoWall,位于TeslaCrypt之前。虽然美国、法国与日本是受Locky影响最严重的三个国家,但是勒索软件同样肆虐其他亚太地区,尤其是中国。
最近发生的这波网络攻击浪潮使许多机构与用户深表担忧,您应该也不例外。勒索软件是很龌龊的事物,但是经过细心准备,您可以显著降低感染风险,并且减少感染之后对您或您的机构造成的影响。什么是勒索软件?
勒索软件是一种恶意软件,可以感染设备、网络与数据中心并使其瘫痪,直至用户或机构支付赎金使系统解锁。由Fortinet和其他几家知名安全公司组成的网络威胁联盟于2015年10月发布了关于勒索软件的报告,报告预计此勒索软件已经给受害者带来至少3亿2500万美元的损失了。
勒索软件通常采取以下几种方式中的一种:1、2、3、4、5、感染操作系统,使设备无法启动。加密驱动器或一组文件或文件名。
一些恶意版本使用定时器开始删除文件,直至支付赎金。
所有勒索软件都要求支付赎金以解锁或释放被锁定或加密的系统、文件、或数据。受感染用户的设备屏幕上通常会显示类似的信息:
· “您的计算机已经感染病毒。点击此处可以解决问题。”
· “您的计算机被用于访问有非法内容的网站。您必须支付XXX美元罚金才能使计算机解锁。”
· “您计算机上的所有文件已被加密。您必须在72小时之内支付赎金才能恢复数据访问。” 我是如何被感染的?
勒索软件有多种传输方式:
1、最常见的是电子邮件中附带的已感染文件:
例如,今天我收到一份自称来自银行的电子邮件。邮件中有正确的银行标识、真实的银行网址链接、以及我的名字。信息的正文声称检测到我的账户存在可疑活动,并且我需要安装附带的文件来验证我的证书。这看起来像合法的问题。其实不是,这是一个钓鱼攻击。当然,对于我们来说真相就是银行不会发送文件并要求安装——当然不会验证您的证书。而是附带的文件已受到勒索软件的感染,如果我点击了该文件,勒索软件就会加载到我的系统中。
2、路过式下载感染方式:
用户访问受感染的网页并在用户不知情的情况下下载并安装了恶意软件。勒索软件同样通过社交媒体扩散,比如网页式即时通讯应用程序。而且最近,脆弱的网页服务器被用作进入点来访问机构内部网络。
3、软件升级方式感染:
用户在电脑使用过程中,经常提醒XX软件需要升级,请及时更新等提示。如:提示升级Adobe Flash软件 引起Cerber 病毒感染等。
4、软件安装中的隐藏链接引发感染:
用户在安装软件过程中,都会隐藏一些不必要的链接,在您安装软件的同时将这些不必要的链接激活,从而感染病毒。怎样才能阻止勒索软件?
1、升级企业防病毒到最新病毒库。
2、注意备份重要文件,定期异地备份文件数据,以规避恶意软件可能带来的风险。
3、提醒员工不要打开来历不明的邮件,点击打开电子邮件附件、或点击电子邮件中来路不明的网页链接。
4、不要随意下载并安装与工作不相关的程序软件。
5、用户在浏览网页过程中,注意不要随意打开提示窗口或浮屏窗口。
6、暂时取消对程序、软件的升级更新。
7、无法访问外网的客户端,不会受该勒索软件影响。发生勒索病毒后的解决办法?
1、发生勒索病毒如果你资料特别重要需要支付。按黑客给你的比特币地址支付xxx比特币即可。2、3、4、5、目前,国内外没有破解工具可以让cerber加密文件恢复正常。
预防此类勒索病毒的需要每日更新杀毒软件病毒库,备份你的重要文件。发生勒索病毒的PC机,及时断开网络;不要与公司局域网络链接。
PC机的维修,需要将整个机器硬盘格式化,您存储的数据全部丢失。(注:企业对PC机维修,建议更换硬盘。)
第二篇:关于防范勒索病毒的紧急通知
关于防范勒索病毒的紧急通知
校园网用户:
近期网络上开始流传一种被称之为“勒索病毒”的恶意程序,该类程序可能会通过电子邮件附件、Office文档、JS脚本、带毒网址等途径传播。一旦中招,病毒会自动以极高强度的加密方式,加密硬盘上所有Office文档、图像、视频、压缩包等类型的文件,目前全球业界尚未找到有效的技术破解方法,即一旦工作文档被病毒破坏,基本上不可能恢复,这将给单位和个人带来巨大损失。
尤其值得关注的是,由于勒索病毒采取了多种先进的对抗技术,使得病毒的每次感染都会自我变形加密,从而绕过所有杀毒软件的特征追杀,即依赖杀软无法有效对抗勒索病毒。
信息中心特别提醒:
1.不要打开来源不明的电子邮件附件,尤其是带有各种诱惑性语言的电子邮件附件。即使熟人发送的电子邮件,一旦发现不符合逻辑的、与最近交流对不上号的或其他莫名其妙的内容、添加了不常见的附件等,均应当先通过电话、QQ等其他方式确认,否则不可贸然打开附件。
2.不要点击安全状态不明的网页地址。对于QQ、电子邮件以及网站、论坛等场合见到的网站地址,如果不能确定其安全性,请切勿点击。对于以一串无意义乱码组成的域名、其他不熟悉的域名,更不要随便点击。
3.禁用自动播放功能。U盘、移动硬盘也是一个重要的病毒传播途径,病毒可能会通过移动设备的自动播放功能而自动激活、感染。禁止自动播放的步骤:
运行(win+r键)→输入gpedit.msc并回车→计算机配置→管理模板→Windows组件→自动播放策略→关闭自动播放→已启用→全部驱动器→确定。
4.禁用危险文件类型和危险文件。步骤:运行(win+r键)→输入secpol.msc并回车→软件限制策略→鼠标右键点击,选择“创建软件限制策略”→其他规则→右击,新建路径规则→在路径栏输入:Wscript.exe→确定。重复前述“新建路径规则”操作,但路径栏分别输入Cscript.exe和*.scr,再建立两条路径规则;查看一下当前所有硬盘盘符,确定如果插入U盘或移动硬盘时可能会用到哪些盘符,比如U盘盘符为H:,则再次创建一条路径规则,在路径中输入H:*.*;如果移动硬盘有多个分区或可能同时使用多只U盘,则以此类推创建更多的盘符规则。这样可有效阻止所有JS脚本以及.SCR类型的文件被加载,并且阻止移动介质上直接运行任何可执行文件(文档打开不受影响),可极大地提高移动介质的安全性。注意:对于Home版(家庭版)的操作系统,本项创建策略功能无法使用。
5.注重工作文档和个人重要数据的备份。可通过移动磁盘、网盘等方式定期离线备份重要工作文档;当前紧急、重要的工作除了这些方式外,还可向自己的电子邮箱以附件发送一份电子邮件作为临时备份。万一发生感染勒索病毒的情况,请切勿自行重装系统、尝试打开加密文件等,可第一时间关闭计算机电源并向信息中心寻求帮助,也许能够最大限度挽救工作数据。
特此通知,请广大校园网用户加强防范。
信息化建设与发展中心 2016年4月6日
第三篇:关于应对勒索病毒爆发的紧急通知
关于应对勒索病毒爆发的紧急通知
5月12号,全球爆发最大规模的勒索病毒网络攻击,攻击者锁定受害者电脑文档,致使受害者必须向攻击者支付费用方可解锁。为避免病毒感染扩大,保障您的文件安全,信息中心建议用户立即按以下5点安全措施进行操作:
1.请立即拔掉网线,尽快完成第2步操作后,再接上网线进行后续操作;同时,告知您周围未开机的同事,拔掉网线,再按下面步骤操作。
2.开启系统防火墙,控制面板-Windows防火墙-点击“启用Windows防火墙”并勾选下面两个复选框,参见下图设置。
3.更新windows系统补丁
查看windows系统版本,可右键点击“我的电脑”-“属性”查看系统版本,点击对应补丁下载地址,下载后双击运行,按照提示完成安装后务必重启电脑;
Winxp sp3 x86补丁下载地址: https://download.microsoft.com/download/4/1/B/41B4AFF6-C3BC-48E6-9A99-4C483BD098D5/WindowsXP-KB4012598-x86-Embedded-Custom-CHS.exe
Windows 7 sp1 x64 补丁下载地址:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
Win8 x64补丁下载地址:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
Win10 x64补丁下载地址:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
微软补丁信息,可参考:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
4.请注意定期备份重要数据到移动硬盘。
5.若发现电脑感染了勒索病毒,请立即拔掉网线,并报告当地信息工程部。
特此通知
中国南方航空股份公司信息中心
2017年5月14日
第四篇:关于加强防范新型升级勒索病毒工作的通知
关于做好医疗卫生领域重要信息系统安全管理暨
加强防范新型升级勒索病毒工作的通知
各市、县(区)卫生计生委(局),委机关各处室(局),各直属单位,各级医疗卫生机构:
根据国家和自治区相关要求,为加强我省医疗卫生领域重要信息系统安全管理,做好勒索病毒的防范工作,确保重要信息系统和网站稳定运行,保障网络和系统安全。现将有关事项及要求通知如下:
一、加强组织机构,责任到人
各单位要加强网络信息安全组织机构,整合技术力量,确保有机构有人员负责网络信息安全保障工作。要落实重要信息系统安全责任制,做到任务到人,责任到人。
二、全面排查,整改加固
近期,要组织专门技术力量,对重要信息系统和重点网站开展全面、细致的安全漏洞监测、僵木蠕等恶意代码查杀、渗透测试等,对系统运维和安全状况做到心中有数。对通过排查、检测发现的安全隐患和漏洞,以及开展等保测评工作中存在的问题,要及时、规范的进行整改加固,切实提高信息系统抵御网站攻击、非法控制和窃密等工作的能力和水平。
同时,针对近期国内发生的多起医院感染新型勒索病毒事件,各二三级医院要重点做好防范变种勒索病毒感染工作,加强防范意识,加大防范力度。
三、监测预警,确保安全
在做好安全防范工作的同时,各单位要在重要时间节点,严 格落实值班报告制度,通过人工和技术手段确保重要信息系统24 小时实时监测、预警和系统的应急处置,随时掌握重要信息系统 和重点网站运行状况及保障情况,确保发生网络安全事件(故)时能够第一时间妥善快速处置。发生重大网络安全事件要及时报
-自治区卫生计生委规划信息处和自治区卫生计生委信息中心。
四、其他
1.各市卫生计生委(局)要将工作要求传达到辖区所有县(区)卫生计生局、医疗卫生机构,特别是二三级医院,保证工作落实到位。
2.各直属单位、医科大学总医院要按照工作要求,尽快落实,确保重要信息系统安全。
3.委机关各相关处室(局)要做好重要业务信息系统和网站的网络信息安全管理工作。
4.各单位要确定一名信息安全联络人,并加入卫生计生信息安全QQ群(群号:)及时掌握最新的预警通知和防范方法。
联系人: 联系电话:
附件:安全防范措施及工作建议
-附件
安全防范措施及工作建议
一、以预防为主,各单位要组织技术人员在服务器、网络环境、应用三个层面进行安全风险检查与加固
1.服务器层面,需要避免弱口令,避免多个系统使用同一口令,及时安装漏洞补丁,关闭Windows共享服务、远程桌面控制等不必要的服务,安装防病毒、终端安全管理软件,并及时更新将病毒库。
2.网络层面,要做好安全区域隔离工作,尤其针对重要业务系统及核心数据库,应该设置独立的安全区域,并做好区域边界的安全防御,严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务。
3.应用系统层面,各业务单位需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控,并对业务系统及数据进行备份,并验证备份系统及备份数据的可用性,一但主系统遭受攻击,保障备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,避免主系统和备份系统同时被感染、被攻击。
二、日常工作中,各单位要加强系统使用过程的管理与网络安全状态的实时监测
1.各单位一旦发现电脑中毒,立即断网。按照日常防范步骤,检查和落实漏洞修复等安全措施。严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备,同时尽快备份电脑中的重要文件和数据资料。
2.要常态化的开展安全检查和评估,及时发现安全薄弱环节,及时修补安全漏洞和安全管理机制上的不足,保持系统的安全维持在一个相对较高的水平。
3.及时关注并跟进网络安全的技术进步,有条件的单位,可以采取新型的基于大数据的流量的监测设备并配合专业的分析服务,以便做到蠕虫病毒的第一时间发现、第一时间处置、第一时间溯源
-根除。
三、具体安全防范措施
1.进一步健全数据备份机制,确保所有系统在本地有数据备份,第三级及以上信息系统、网络要健全容灾备份机制。
2.服务器尽量不要开放外网端口,关闭不必要的高危端口,不使用系统自带远程协助服务,使用其它远程管理软件,例如:TeamViewer或者瑞友天翼。
3.更改默认administrator管理帐户,禁用GUEST来宾帐户。
4.更改复杂密码,字母大小写,数字及符号组合的密码,不低于10位字符。
5.外网服务器不要有访问及修改内网计算机文件夹的权限。
6.设置帐户锁定策略,在输入5次密码错误后禁止登录。
第五篇:病毒查杀分析报告
东营市医药公司和扣分公司
病毒查杀分析报告
2013本企业计算机网络系统未发生重大病毒感染情况,计算机系统运行正常。
信息科
2014年1月6日