第一篇：關(guān)于勒索病毒的報告

關(guān)于勒索病毒的報告

如果您對網(wǎng)絡(luò)安全方面的新聞有所關(guān)注，應(yīng)該聽說多家公司受到勒索軟件，特別是“Locky”的影響，其中不乏國內(nèi)知名公司。這款勒索軟件于今年二月露面并迅速成長為全球第二大勒索軟件系列，排名僅次于CryptoWall，位于TeslaCrypt之前。雖然美國、法國與日本是受Locky影響最嚴(yán)重的三個國家，但是勒索軟件同樣肆虐其他亞太地區(qū)，尤其是中國。

最近發(fā)生的這波網(wǎng)絡(luò)攻擊浪潮使許多機(jī)構(gòu)與用戶深表擔(dān)憂，您應(yīng)該也不例外。勒索軟件是很齷齪的事物，但是經(jīng)過細(xì)心準(zhǔn)備，您可以顯著降低感染風(fēng)險，并且減少感染之后對您或您的機(jī)構(gòu)造成的影響。什么是勒索軟件?

勒索軟件是一種惡意軟件，可以感染設(shè)備、網(wǎng)絡(luò)與數(shù)據(jù)中心并使其癱瘓，直至用戶或機(jī)構(gòu)支付贖金使系統(tǒng)解鎖。由Fortinet和其他幾家知名安全公司組成的網(wǎng)絡(luò)威脅聯(lián)盟于2015年10月發(fā)布了關(guān)于勒索軟件的報告，報告預(yù)計此勒索軟件已經(jīng)給受害者帶來至少3億2500萬美元的損失了。

勒索軟件通常采取以下幾種方式中的一種：1、2、3、4、5、感染操作系統(tǒng)，使設(shè)備無法啟動。加密驅(qū)動器或一組文件或文件名。

一些惡意版本使用定時器開始刪除文件，直至支付贖金。

所有勒索軟件都要求支付贖金以解鎖或釋放被鎖定或加密的系統(tǒng)、文件、或數(shù)據(jù)。受感染用戶的設(shè)備屏幕上通常會顯示類似的信息：

· “您的計算機(jī)已經(jīng)感染病毒。點擊此處可以解決問題?！?/p>

· “您的計算機(jī)被用于訪問有非法內(nèi)容的網(wǎng)站。您必須支付XXX美元罰金才能使計算機(jī)解鎖?！?/p>

· “您計算機(jī)上的所有文件已被加密。您必須在72小時之內(nèi)支付贖金才能恢復(fù)數(shù)據(jù)訪問?！?我是如何被感染的?

勒索軟件有多種傳輸方式：

1、最常見的是電子郵件中附帶的已感染文件：

例如，今天我收到一份自稱來自銀行的電子郵件。郵件中有正確的銀行標(biāo)識、真實的銀行網(wǎng)址鏈接、以及我的名字。信息的正文聲稱檢測到我的賬戶存在可疑活動，并且我需要安裝附帶的文件來驗證我的證書。這看起來像合法的問題。其實不是，這是一個釣魚攻擊。當(dāng)然，對于我們來說真相就是銀行不會發(fā)送文件并要求安裝——當(dāng)然不會驗證您的證書。而是附帶的文件已受到勒索軟件的感染，如果我點擊了該文件，勒索軟件就會加載到我的系統(tǒng)中。

2、路過式下載感染方式：

用戶訪問受感染的網(wǎng)頁并在用戶不知情的情況下下載并安裝了惡意軟件。勒索軟件同樣通過社交媒體擴(kuò)散，比如網(wǎng)頁式即時通訊應(yīng)用程序。而且最近，脆弱的網(wǎng)頁服務(wù)器被用作進(jìn)入點來訪問機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)。

3、軟件升級方式感染：

用戶在電腦使用過程中，經(jīng)常提醒XX軟件需要升級，請及時更新等提示。如：提示升級Adobe Flash軟件 引起Cerber 病毒感染等。

4、軟件安裝中的隱藏鏈接引發(fā)感染：

用戶在安裝軟件過程中，都會隱藏一些不必要的鏈接，在您安裝軟件的同時將這些不必要的鏈接激活，從而感染病毒。怎樣才能阻止勒索軟件?

1、升級企業(yè)防病毒到最新病毒庫。

2、注意備份重要文件，定期異地備份文件數(shù)據(jù)，以規(guī)避惡意軟件可能帶來的風(fēng)險。

3、提醒員工不要打開來歷不明的郵件，點擊打開電子郵件附件、或點擊電子郵件中來路不明的網(wǎng)頁鏈接。

4、不要隨意下載并安裝與工作不相關(guān)的程序軟件。

5、用戶在瀏覽網(wǎng)頁過程中，注意不要隨意打開提示窗口或浮屏窗口。

6、暫時取消對程序、軟件的升級更新。

7、無法訪問外網(wǎng)的客戶端，不會受該勒索軟件影響。發(fā)生勒索病毒后的解決辦法?

1、發(fā)生勒索病毒如果你資料特別重要需要支付。按黑客給你的比特幣地址支付xxx比特幣即可。2、3、4、5、目前，國內(nèi)外沒有破解工具可以讓cerber加密文件恢復(fù)正常。

預(yù)防此類勒索病毒的需要每日更新殺毒軟件病毒庫，備份你的重要文件。發(fā)生勒索病毒的PC機(jī)，及時斷開網(wǎng)絡(luò)；不要與公司局域網(wǎng)絡(luò)鏈接。

PC機(jī)的維修，需要將整個機(jī)器硬盤格式化，您存儲的數(shù)據(jù)全部丟失。（注：企業(yè)對PC機(jī)維修，建議更換硬盤。）

第二篇：關(guān)于防范勒索病毒的緊急通知

關(guān)于防范勒索病毒的緊急通知

校園網(wǎng)用戶：

近期網(wǎng)絡(luò)上開始流傳一種被稱之為“勒索病毒”的惡意程序，該類程序可能會通過電子郵件附件、Office文檔、JS腳本、帶毒網(wǎng)址等途徑傳播。一旦中招，病毒會自動以極高強(qiáng)度的加密方式，加密硬盤上所有Office文檔、圖像、視頻、壓縮包等類型的文件，目前全球業(yè)界尚未找到有效的技術(shù)破解方法，即一旦工作文檔被病毒破壞，基本上不可能恢復(fù)，這將給單位和個人帶來巨大損失。

尤其值得關(guān)注的是，由于勒索病毒采取了多種先進(jìn)的對抗技術(shù)，使得病毒的每次感染都會自我變形加密，從而繞過所有殺毒軟件的特征追殺，即依賴殺軟無法有效對抗勒索病毒。

信息中心特別提醒：

1.不要打開來源不明的電子郵件附件，尤其是帶有各種誘惑性語言的電子郵件附件。即使熟人發(fā)送的電子郵件，一旦發(fā)現(xiàn)不符合邏輯的、與最近交流對不上號的或其他莫名其妙的內(nèi)容、添加了不常見的附件等，均應(yīng)當(dāng)先通過電話、QQ等其他方式確認(rèn)，否則不可貿(mào)然打開附件。

2.不要點擊安全狀態(tài)不明的網(wǎng)頁地址。對于QQ、電子郵件以及網(wǎng)站、論壇等場合見到的網(wǎng)站地址，如果不能確定其安全性，請切勿點擊。對于以一串無意義亂碼組成的域名、其他不熟悉的域名，更不要隨便點擊。

3.禁用自動播放功能。U盤、移動硬盤也是一個重要的病毒傳播途徑，病毒可能會通過移動設(shè)備的自動播放功能而自動激活、感染。禁止自動播放的步驟：

運行（win+r鍵）→輸入gpedit.msc并回車→計算機(jī)配置→管理模板→Windows組件→自動播放策略→關(guān)閉自動播放→已啟用→全部驅(qū)動器→確定。

4.禁用危險文件類型和危險文件。步驟：運行（win+r鍵）→輸入secpol.msc并回車→軟件限制策略→鼠標(biāo)右鍵點擊，選擇“創(chuàng)建軟件限制策略”→其他規(guī)則→右擊，新建路徑規(guī)則→在路徑欄輸入：Wscript.exe→確定。重復(fù)前述“新建路徑規(guī)則”操作，但路徑欄分別輸入Cscript.exe和*.scr，再建立兩條路徑規(guī)則；查看一下當(dāng)前所有硬盤盤符，確定如果插入U盤或移動硬盤時可能會用到哪些盤符，比如U盤盤符為H:，則再次創(chuàng)建一條路徑規(guī)則，在路徑中輸入H:*.*；如果移動硬盤有多個分區(qū)或可能同時使用多只U盤，則以此類推創(chuàng)建更多的盤符規(guī)則。這樣可有效阻止所有JS腳本以及.SCR類型的文件被加載，并且阻止移動介質(zhì)上直接運行任何可執(zhí)行文件（文檔打開不受影響），可極大地提高移動介質(zhì)的安全性。注意：對于Home版（家庭版）的操作系統(tǒng)，本項創(chuàng)建策略功能無法使用。

5.注重工作文檔和個人重要數(shù)據(jù)的備份?？赏ㄟ^移動磁盤、網(wǎng)盤等方式定期離線備份重要工作文檔；當(dāng)前緊急、重要的工作除了這些方式外，還可向自己的電子郵箱以附件發(fā)送一份電子郵件作為臨時備份。萬一發(fā)生感染勒索病毒的情況，請切勿自行重裝系統(tǒng)、嘗試打開加密文件等，可第一時間關(guān)閉計算機(jī)電源并向信息中心尋求幫助，也許能夠最大限度挽救工作數(shù)據(jù)。

特此通知，請廣大校園網(wǎng)用戶加強(qiáng)防范。

信息化建設(shè)與發(fā)展中心 2016年4月6日

第三篇：關(guān)于應(yīng)對勒索病毒爆發(fā)的緊急通知

關(guān)于應(yīng)對勒索病毒爆發(fā)的緊急通知

5月12號，全球爆發(fā)最大規(guī)模的勒索病毒網(wǎng)絡(luò)攻擊，攻擊者鎖定受害者電腦文檔，致使受害者必須向攻擊者支付費用方可解鎖。為避免病毒感染擴(kuò)大，保障您的文件安全，信息中心建議用戶立即按以下5點安全措施進(jìn)行操作：

1.請立即拔掉網(wǎng)線，盡快完成第2步操作后，再接上網(wǎng)線進(jìn)行后續(xù)操作；同時，告知您周圍未開機(jī)的同事，拔掉網(wǎng)線，再按下面步驟操作。

2.開啟系統(tǒng)防火墻，控制面板-Windows防火墻-點擊“啟用Windows防火墻”并勾選下面兩個復(fù)選框，參見下圖設(shè)置。

3.更新windows系統(tǒng)補(bǔ)丁

查看windows系統(tǒng)版本，可右鍵點擊“我的電腦”-“屬性”查看系統(tǒng)版本，點擊對應(yīng)補(bǔ)丁下載地址，下載后雙擊運行，按照提示完成安裝后務(wù)必重啟電腦；

Winxp sp3 x86補(bǔ)丁下載地址： https://download.microsoft.com/download/4/1/B/41B4AFF6-C3BC-48E6-9A99-4C483BD098D5/WindowsXP-KB4012598-x86-Embedded-Custom-CHS.exe

Windows 7 sp1 x64 補(bǔ)丁下載地址：

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

Win8 x64補(bǔ)丁下載地址：

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

Win10 x64補(bǔ)丁下載地址：

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu

微軟補(bǔ)丁信息，可參考：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

4.請注意定期備份重要數(shù)據(jù)到移動硬盤。

5.若發(fā)現(xiàn)電腦感染了勒索病毒，請立即拔掉網(wǎng)線，并報告當(dāng)?shù)匦畔⒐こ滩俊?/p>

特此通知

中國南方航空股份公司信息中心

2017年5月14日

第四篇：關(guān)于加強(qiáng)防范新型升級勒索病毒工作的通知

關(guān)于做好醫(yī)療衛(wèi)生領(lǐng)域重要信息系統(tǒng)安全管理暨

加強(qiáng)防范新型升級勒索病毒工作的通知

各市、縣（區(qū)）衛(wèi)生計生委（局），委機(jī)關(guān)各處室（局），各直屬單位，各級醫(yī)療衛(wèi)生機(jī)構(gòu)：

根據(jù)國家和自治區(qū)相關(guān)要求，為加強(qiáng)我省醫(yī)療衛(wèi)生領(lǐng)域重要信息系統(tǒng)安全管理，做好勒索病毒的防范工作，確保重要信息系統(tǒng)和網(wǎng)站穩(wěn)定運行，保障網(wǎng)絡(luò)和系統(tǒng)安全?，F(xiàn)將有關(guān)事項及要求通知如下：

一、加強(qiáng)組織機(jī)構(gòu)，責(zé)任到人

各單位要加強(qiáng)網(wǎng)絡(luò)信息安全組織機(jī)構(gòu)，整合技術(shù)力量，確保有機(jī)構(gòu)有人員負(fù)責(zé)網(wǎng)絡(luò)信息安全保障工作。要落實重要信息系統(tǒng)安全責(zé)任制，做到任務(wù)到人，責(zé)任到人。

二、全面排查，整改加固

近期，要組織專門技術(shù)力量，對重要信息系統(tǒng)和重點網(wǎng)站開展全面、細(xì)致的安全漏洞監(jiān)測、僵木蠕等惡意代碼查殺、滲透測試等，對系統(tǒng)運維和安全狀況做到心中有數(shù)。對通過排查、檢測發(fā)現(xiàn)的安全隱患和漏洞，以及開展等保測評工作中存在的問題，要及時、規(guī)范的進(jìn)行整改加固，切實提高信息系統(tǒng)抵御網(wǎng)站攻擊、非法控制和竊密等工作的能力和水平。

同時，針對近期國內(nèi)發(fā)生的多起醫(yī)院感染新型勒索病毒事件，各二三級醫(yī)院要重點做好防范變種勒索病毒感染工作，加強(qiáng)防范意識，加大防范力度。

三、監(jiān)測預(yù)警，確保安全

在做好安全防范工作的同時，各單位要在重要時間節(jié)點，嚴(yán) 格落實值班報告制度，通過人工和技術(shù)手段確保重要信息系統(tǒng)24 小時實時監(jiān)測、預(yù)警和系統(tǒng)的應(yīng)急處置，隨時掌握重要信息系統(tǒng) 和重點網(wǎng)站運行狀況及保障情況，確保發(fā)生網(wǎng)絡(luò)安全事件（故）時能夠第一時間妥善快速處置。發(fā)生重大網(wǎng)絡(luò)安全事件要及時報

-自治區(qū)衛(wèi)生計生委規(guī)劃信息處和自治區(qū)衛(wèi)生計生委信息中心。

四、其他

1.各市衛(wèi)生計生委（局）要將工作要求傳達(dá)到轄區(qū)所有縣（區(qū)）衛(wèi)生計生局、醫(yī)療衛(wèi)生機(jī)構(gòu)，特別是二三級醫(yī)院，保證工作落實到位。

2.各直屬單位、醫(yī)科大學(xué)總醫(yī)院要按照工作要求，盡快落實，確保重要信息系統(tǒng)安全。

3.委機(jī)關(guān)各相關(guān)處室（局）要做好重要業(yè)務(wù)信息系統(tǒng)和網(wǎng)站的網(wǎng)絡(luò)信息安全管理工作。

4.各單位要確定一名信息安全聯(lián)絡(luò)人，并加入衛(wèi)生計生信息安全QQ群（群號：）及時掌握最新的預(yù)警通知和防范方法。

聯(lián)系人： 聯(lián)系電話：

附件：安全防范措施及工作建議

-附件

安全防范措施及工作建議

一、以預(yù)防為主，各單位要組織技術(shù)人員在服務(wù)器、網(wǎng)絡(luò)環(huán)境、應(yīng)用三個層面進(jìn)行安全風(fēng)險檢查與加固

1.服務(wù)器層面，需要避免弱口令，避免多個系統(tǒng)使用同一口令，及時安裝漏洞補(bǔ)丁，關(guān)閉Windows共享服務(wù)、遠(yuǎn)程桌面控制等不必要的服務(wù)，安裝防病毒、終端安全管理軟件，并及時更新將病毒庫。

2.網(wǎng)絡(luò)層面，要做好安全區(qū)域隔離工作，尤其針對重要業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)庫，應(yīng)該設(shè)置獨立的安全區(qū)域，并做好區(qū)域邊界的安全防御，嚴(yán)格限制重要區(qū)域的訪問權(quán)限并關(guān)閉telnet、snmp等不必要、不安全的服務(wù)。

3.應(yīng)用系統(tǒng)層面，各業(yè)務(wù)單位需要對應(yīng)用系統(tǒng)進(jìn)行安全滲透測試與加固，保障應(yīng)用系統(tǒng)自身安全可控，并對業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進(jìn)行備份，并驗證備份系統(tǒng)及備份數(shù)據(jù)的可用性，一但主系統(tǒng)遭受攻擊，保障備份業(yè)務(wù)系統(tǒng)可以立即啟用；同時，需要做好備份系統(tǒng)與主系統(tǒng)的安全隔離工作，避免主系統(tǒng)和備份系統(tǒng)同時被感染、被攻擊。

二、日常工作中，各單位要加強(qiáng)系統(tǒng)使用過程的管理與網(wǎng)絡(luò)安全狀態(tài)的實時監(jiān)測

1.各單位一旦發(fā)現(xiàn)電腦中毒，立即斷網(wǎng)。按照日常防范步驟，檢查和落實漏洞修復(fù)等安全措施。嚴(yán)格禁止使用U盤、移動硬盤等可執(zhí)行擺渡攻擊的設(shè)備，同時盡快備份電腦中的重要文件和數(shù)據(jù)資料。

2.要常態(tài)化的開展安全檢查和評估，及時發(fā)現(xiàn)安全薄弱環(huán)節(jié)，及時修補(bǔ)安全漏洞和安全管理機(jī)制上的不足，保持系統(tǒng)的安全維持在一個相對較高的水平。

3.及時關(guān)注并跟進(jìn)網(wǎng)絡(luò)安全的技術(shù)進(jìn)步，有條件的單位，可以采取新型的基于大數(shù)據(jù)的流量的監(jiān)測設(shè)備并配合專業(yè)的分析服務(wù)，以便做到蠕蟲病毒的第一時間發(fā)現(xiàn)、第一時間處置、第一時間溯源

-根除。

三、具體安全防范措施

1.進(jìn)一步健全數(shù)據(jù)備份機(jī)制，確保所有系統(tǒng)在本地有數(shù)據(jù)備份，第三級及以上信息系統(tǒng)、網(wǎng)絡(luò)要健全容災(zāi)備份機(jī)制。

2.服務(wù)器盡量不要開放外網(wǎng)端口，關(guān)閉不必要的高危端口，不使用系統(tǒng)自帶遠(yuǎn)程協(xié)助服務(wù)，使用其它遠(yuǎn)程管理軟件，例如：TeamViewer或者瑞友天翼。

3.更改默認(rèn)administrator管理帳戶，禁用GUEST來賓帳戶。

4.更改復(fù)雜密碼，字母大小寫，數(shù)字及符號組合的密碼，不低于10位字符。

5.外網(wǎng)服務(wù)器不要有訪問及修改內(nèi)網(wǎng)計算機(jī)文件夾的權(quán)限。

6.設(shè)置帳戶鎖定策略，在輸入5次密碼錯誤后禁止登錄。

第五篇：病毒查殺分析報告

東營市醫(yī)藥公司和扣分公司

病毒查殺分析報告

2013本企業(yè)計算機(jī)網(wǎng)絡(luò)系統(tǒng)未發(fā)生重大病毒感染情況，計算機(jī)系統(tǒng)運行正常。

信息科

2014年1月6日