关于做好勒索病毒防范工作的通知
近期,勒索病毒活动猖獗,它可以通过各种方式进行攻击,包括通过漏洞利用、电子邮件、程序木马、网络下载等方式进行传播。这种病毒利用各种加密算法对文件进行加密并勒索高额赎金,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。黑客在植入病毒完成加密后,会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。如果计算机出现了以下特征,表明已经中了勒索病毒。
一、勒索病毒的风险危害
电脑桌面被篡改
服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式。
文件后缀被篡改
服务器感染勒索病毒后,另外一个典型特征是文件后缀被篡改。目前,勒索病毒的主要类型有文件加密类勒索病毒、数据窃取类勒索病毒、系统加密类勒索病毒、屏幕锁定类勒索病毒。
这些勒索病毒一般都通过下列几种方式进行传播:
(1)利用安全漏洞传播。
攻击者利用弱口令、远程代码执行等网络产品安全漏洞(这些漏洞多是已公开且已发布补丁的漏洞,且未及时修复的),攻击入侵用户内部网络,获取管理员权限,进而主动传播勒索病毒。
(2)利用钓鱼邮件传播。
攻击者将勒索病毒内嵌至钓鱼邮件的文档、图片等附件中,或将勒索病毒恶意链接写入钓鱼邮件正文中,通过网络钓鱼攻击传播勒索病毒。一旦用户打开或点击,病毒就会自动加载、安装,进而威胁整个学校网络安全。
(3)利用网站挂马传播。
攻击者通过网络攻击网站,以在网站植入恶意代码的方式挂马,或通过主动搭建包含恶意代码的网站,诱导用户访问网站并触发恶意代码,劫持用户当前访问页面至勒索病毒下载链接并执行,进而向用户设备植入勒索病毒。
(4)利用移动介质传播。
攻击者通过隐藏U盘、移动硬盘等移动存储介质原有文件,创建与移动存储介质盘符、图标等相同的快捷方式,一旦用户点击,将自动运行勒索病毒,或运行专门用于收集和回传设备信息的木马程序,便于未来实施针对性的勒索。
(5)利用软件供应链传播。
攻击者利用软件供应商与软件用户间的信任关系,通过攻击入侵软件供应商相关服务器设备,利用软件供应链分发、更新等机制,在合法软件正常传播、升级等过程中,对合法软件进行劫持或篡改,规避用户网络安全防护机制,传播勒索病毒。
(6)利用远程桌面入侵传播。
攻击者通常利用弱口令、暴力破解等方式获取攻击目标服务器远程登录用户名和密码,进而通过远程桌面协议登录服务器并植入勒索病毒。同时,攻击者一旦成功登录服务器,获得服务器控制权限,可以服务器为攻击跳板,在用户内部网络进一步传播勒索病毒。
二、勒索病毒的防范措施
更换弱口令(电脑/服务器/数据库的密码)
弱口令是勒索病毒攻击的最主要途径之一。因此,用户应尽量设置口令长度为8位以上,“字母+数字+特殊符号”三种组合的口令。
安装杀毒软件
安装杀毒软件,并定期更新病毒库,以防止勒索病毒的入侵。安装杀毒软件的操作手册见《防病毒软件操作手册》。定期进行安全扫描和漏洞扫描,及时发现和修复安全问题。定期进行全盘扫描和实时监控,及时发现和清除病毒。
保持系统更新
及时更新系统和软件,以防止被已知的漏洞攻击。定期关闭电脑,以防止病毒不断进行爆破攻击。
备份重要数据
备份重要数据可以有效地避免勒索病毒攻击造成的数据损失和泄露。定期备份重要数据,并将其存储在安全的地方,如外部存储设备中。
不要打开未知的邮件或附件
勒索病毒通常通过电子邮件或者恶意下载链接进行传播,避免打开未知邮件或附件可以降低受到攻击的风险。
禁用勒索病毒常用的端口
目前信息中心已禁用勒索病毒常用的端口:135 、137 、139 、445。
三、已受到勒索病毒攻击怎么办
如果已经受到勒索病毒攻击,千万不要轻易支付赎金。由于赎金多数为比特币等加密货币形式,加密货币一旦支付则基本不可能追回。支付赎金只会刺激攻击者继续攻击并进行勒索,同时也不能保证数据能够被解密。先拔出网线断网,避免其他电脑感染。及时向信息中心报告并重装系统,格式化所有的电脑硬盘,设置复杂的电脑开机密码。
若有疑问,请联系信息中心网络安全科 65229883
附件 《防病毒软件操作手册》
2023年11月3日
信息中心
