第一篇：關于防范勒索病毒的緊急通知

關于防范勒索病毒的緊急通知

校園網(wǎng)用戶：

近期網(wǎng)絡上開始流傳一種被稱之為“勒索病毒”的惡意程序，該類程序可能會通過電子郵件附件、Office文檔、JS腳本、帶毒網(wǎng)址等途徑傳播。一旦中招，病毒會自動以極高強度的加密方式，加密硬盤上所有Office文檔、圖像、視頻、壓縮包等類型的文件，目前全球業(yè)界尚未找到有效的技術破解方法，即一旦工作文檔被病毒破壞，基本上不可能恢復，這將給單位和個人帶來巨大損失。

尤其值得關注的是，由于勒索病毒采取了多種先進的對抗技術，使得病毒的每次感染都會自我變形加密，從而繞過所有殺毒軟件的特征追殺，即依賴殺軟無法有效對抗勒索病毒。

信息中心特別提醒：

1.不要打開來源不明的電子郵件附件，尤其是帶有各種誘惑性語言的電子郵件附件。即使熟人發(fā)送的電子郵件，一旦發(fā)現(xiàn)不符合邏輯的、與最近交流對不上號的或其他莫名其妙的內容、添加了不常見的附件等，均應當先通過電話、QQ等其他方式確認，否則不可貿(mào)然打開附件。

2.不要點擊安全狀態(tài)不明的網(wǎng)頁地址。對于QQ、電子郵件以及網(wǎng)站、論壇等場合見到的網(wǎng)站地址，如果不能確定其安全性，請切勿點擊。對于以一串無意義亂碼組成的域名、其他不熟悉的域名，更不要隨便點擊。

3.禁用自動播放功能。U盤、移動硬盤也是一個重要的病毒傳播途徑，病毒可能會通過移動設備的自動播放功能而自動激活、感染。禁止自動播放的步驟：

運行（win+r鍵）→輸入gpedit.msc并回車→計算機配置→管理模板→Windows組件→自動播放策略→關閉自動播放→已啟用→全部驅動器→確定。

4.禁用危險文件類型和危險文件。步驟：運行（win+r鍵）→輸入secpol.msc并回車→軟件限制策略→鼠標右鍵點擊，選擇“創(chuàng)建軟件限制策略”→其他規(guī)則→右擊，新建路徑規(guī)則→在路徑欄輸入：Wscript.exe→確定。重復前述“新建路徑規(guī)則”操作，但路徑欄分別輸入Cscript.exe和*.scr，再建立兩條路徑規(guī)則；查看一下當前所有硬盤盤符，確定如果插入U盤或移動硬盤時可能會用到哪些盤符，比如U盤盤符為H:，則再次創(chuàng)建一條路徑規(guī)則，在路徑中輸入H:*.*；如果移動硬盤有多個分區(qū)或可能同時使用多只U盤，則以此類推創(chuàng)建更多的盤符規(guī)則。這樣可有效阻止所有JS腳本以及.SCR類型的文件被加載，并且阻止移動介質上直接運行任何可執(zhí)行文件（文檔打開不受影響），可極大地提高移動介質的安全性。注意：對于Home版（家庭版）的操作系統(tǒng)，本項創(chuàng)建策略功能無法使用。

5.注重工作文檔和個人重要數(shù)據(jù)的備份?？赏ㄟ^移動磁盤、網(wǎng)盤等方式定期離線備份重要工作文檔；當前緊急、重要的工作除了這些方式外，還可向自己的電子郵箱以附件發(fā)送一份電子郵件作為臨時備份。萬一發(fā)生感染勒索病毒的情況，請切勿自行重裝系統(tǒng)、嘗試打開加密文件等，可第一時間關閉計算機電源并向信息中心尋求幫助，也許能夠最大限度挽救工作數(shù)據(jù)。

特此通知，請廣大校園網(wǎng)用戶加強防范。

信息化建設與發(fā)展中心 2016年4月6日

第二篇：關于應對勒索病毒爆發(fā)的緊急通知

關于應對勒索病毒爆發(fā)的緊急通知

5月12號，全球爆發(fā)最大規(guī)模的勒索病毒網(wǎng)絡攻擊，攻擊者鎖定受害者電腦文檔，致使受害者必須向攻擊者支付費用方可解鎖。為避免病毒感染擴大，保障您的文件安全，信息中心建議用戶立即按以下5點安全措施進行操作：

1.請立即拔掉網(wǎng)線，盡快完成第2步操作后，再接上網(wǎng)線進行后續(xù)操作；同時，告知您周圍未開機的同事，拔掉網(wǎng)線，再按下面步驟操作。

2.開啟系統(tǒng)防火墻，控制面板-Windows防火墻-點擊“啟用Windows防火墻”并勾選下面兩個復選框，參見下圖設置。

3.更新windows系統(tǒng)補丁

查看windows系統(tǒng)版本，可右鍵點擊“我的電腦”-“屬性”查看系統(tǒng)版本，點擊對應補丁下載地址，下載后雙擊運行，按照提示完成安裝后務必重啟電腦；

Winxp sp3 x86補丁下載地址： https://download.microsoft.com/download/4/1/B/41B4AFF6-C3BC-48E6-9A99-4C483BD098D5/WindowsXP-KB4012598-x86-Embedded-Custom-CHS.exe

Windows 7 sp1 x64 補丁下載地址：

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

Win8 x64補丁下載地址：

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

Win10 x64補丁下載地址：

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu

微軟補丁信息，可參考：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

4.請注意定期備份重要數(shù)據(jù)到移動硬盤。

5.若發(fā)現(xiàn)電腦感染了勒索病毒，請立即拔掉網(wǎng)線，并報告當?shù)匦畔⒐こ滩俊?/p>

特此通知

中國南方航空股份公司信息中心

2017年5月14日

第三篇：關于勒索病毒的報告

關于勒索病毒的報告

如果您對網(wǎng)絡安全方面的新聞有所關注，應該聽說多家公司受到勒索軟件，特別是“Locky”的影響，其中不乏國內知名公司。這款勒索軟件于今年二月露面并迅速成長為全球第二大勒索軟件系列，排名僅次于CryptoWall，位于TeslaCrypt之前。雖然美國、法國與日本是受Locky影響最嚴重的三個國家，但是勒索軟件同樣肆虐其他亞太地區(qū)，尤其是中國。

最近發(fā)生的這波網(wǎng)絡攻擊浪潮使許多機構與用戶深表擔憂，您應該也不例外。勒索軟件是很齷齪的事物，但是經(jīng)過細心準備，您可以顯著降低感染風險，并且減少感染之后對您或您的機構造成的影響。什么是勒索軟件?

勒索軟件是一種惡意軟件，可以感染設備、網(wǎng)絡與數(shù)據(jù)中心并使其癱瘓，直至用戶或機構支付贖金使系統(tǒng)解鎖。由Fortinet和其他幾家知名安全公司組成的網(wǎng)絡威脅聯(lián)盟于2015年10月發(fā)布了關于勒索軟件的報告，報告預計此勒索軟件已經(jīng)給受害者帶來至少3億2500萬美元的損失了。

勒索軟件通常采取以下幾種方式中的一種：1、2、3、4、5、感染操作系統(tǒng)，使設備無法啟動。加密驅動器或一組文件或文件名。

一些惡意版本使用定時器開始刪除文件，直至支付贖金。

所有勒索軟件都要求支付贖金以解鎖或釋放被鎖定或加密的系統(tǒng)、文件、或數(shù)據(jù)。受感染用戶的設備屏幕上通常會顯示類似的信息：

· “您的計算機已經(jīng)感染病毒。點擊此處可以解決問題。”

· “您的計算機被用于訪問有非法內容的網(wǎng)站。您必須支付XXX美元罰金才能使計算機解鎖?！?/p>

· “您計算機上的所有文件已被加密。您必須在72小時之內支付贖金才能恢復數(shù)據(jù)訪問。” 我是如何被感染的?

勒索軟件有多種傳輸方式：

1、最常見的是電子郵件中附帶的已感染文件：

例如，今天我收到一份自稱來自銀行的電子郵件。郵件中有正確的銀行標識、真實的銀行網(wǎng)址鏈接、以及我的名字。信息的正文聲稱檢測到我的賬戶存在可疑活動，并且我需要安裝附帶的文件來驗證我的證書。這看起來像合法的問題。其實不是，這是一個釣魚攻擊。當然，對于我們來說真相就是銀行不會發(fā)送文件并要求安裝——當然不會驗證您的證書。而是附帶的文件已受到勒索軟件的感染，如果我點擊了該文件，勒索軟件就會加載到我的系統(tǒng)中。

2、路過式下載感染方式：

用戶訪問受感染的網(wǎng)頁并在用戶不知情的情況下下載并安裝了惡意軟件。勒索軟件同樣通過社交媒體擴散，比如網(wǎng)頁式即時通訊應用程序。而且最近，脆弱的網(wǎng)頁服務器被用作進入點來訪問機構內部網(wǎng)絡。

3、軟件升級方式感染：

用戶在電腦使用過程中，經(jīng)常提醒XX軟件需要升級，請及時更新等提示。如：提示升級Adobe Flash軟件 引起Cerber 病毒感染等。

4、軟件安裝中的隱藏鏈接引發(fā)感染：

用戶在安裝軟件過程中，都會隱藏一些不必要的鏈接，在您安裝軟件的同時將這些不必要的鏈接激活，從而感染病毒。怎樣才能阻止勒索軟件?

1、升級企業(yè)防病毒到最新病毒庫。

2、注意備份重要文件，定期異地備份文件數(shù)據(jù)，以規(guī)避惡意軟件可能帶來的風險。

3、提醒員工不要打開來歷不明的郵件，點擊打開電子郵件附件、或點擊電子郵件中來路不明的網(wǎng)頁鏈接。

4、不要隨意下載并安裝與工作不相關的程序軟件。

5、用戶在瀏覽網(wǎng)頁過程中，注意不要隨意打開提示窗口或浮屏窗口。

6、暫時取消對程序、軟件的升級更新。

7、無法訪問外網(wǎng)的客戶端，不會受該勒索軟件影響。發(fā)生勒索病毒后的解決辦法?

1、發(fā)生勒索病毒如果你資料特別重要需要支付。按黑客給你的比特幣地址支付xxx比特幣即可。2、3、4、5、目前，國內外沒有破解工具可以讓cerber加密文件恢復正常。

預防此類勒索病毒的需要每日更新殺毒軟件病毒庫，備份你的重要文件。發(fā)生勒索病毒的PC機，及時斷開網(wǎng)絡；不要與公司局域網(wǎng)絡鏈接。

PC機的維修，需要將整個機器硬盤格式化，您存儲的數(shù)據(jù)全部丟失。（注：企業(yè)對PC機維修，建議更換硬盤。）

第四篇：關于加強防范新型升級勒索病毒工作的通知

關于做好醫(yī)療衛(wèi)生領域重要信息系統(tǒng)安全管理暨

加強防范新型升級勒索病毒工作的通知

各市、縣（區(qū)）衛(wèi)生計生委（局），委機關各處室（局），各直屬單位，各級醫(yī)療衛(wèi)生機構：

根據(jù)國家和自治區(qū)相關要求，為加強我省醫(yī)療衛(wèi)生領域重要信息系統(tǒng)安全管理，做好勒索病毒的防范工作，確保重要信息系統(tǒng)和網(wǎng)站穩(wěn)定運行，保障網(wǎng)絡和系統(tǒng)安全?，F(xiàn)將有關事項及要求通知如下：

一、加強組織機構，責任到人

各單位要加強網(wǎng)絡信息安全組織機構，整合技術力量，確保有機構有人員負責網(wǎng)絡信息安全保障工作。要落實重要信息系統(tǒng)安全責任制，做到任務到人，責任到人。

二、全面排查，整改加固

近期，要組織專門技術力量，對重要信息系統(tǒng)和重點網(wǎng)站開展全面、細致的安全漏洞監(jiān)測、僵木蠕等惡意代碼查殺、滲透測試等，對系統(tǒng)運維和安全狀況做到心中有數(shù)。對通過排查、檢測發(fā)現(xiàn)的安全隱患和漏洞，以及開展等保測評工作中存在的問題，要及時、規(guī)范的進行整改加固，切實提高信息系統(tǒng)抵御網(wǎng)站攻擊、非法控制和竊密等工作的能力和水平。

同時，針對近期國內發(fā)生的多起醫(yī)院感染新型勒索病毒事件，各二三級醫(yī)院要重點做好防范變種勒索病毒感染工作，加強防范意識，加大防范力度。

三、監(jiān)測預警，確保安全

在做好安全防范工作的同時，各單位要在重要時間節(jié)點，嚴 格落實值班報告制度，通過人工和技術手段確保重要信息系統(tǒng)24 小時實時監(jiān)測、預警和系統(tǒng)的應急處置，隨時掌握重要信息系統(tǒng) 和重點網(wǎng)站運行狀況及保障情況，確保發(fā)生網(wǎng)絡安全事件（故）時能夠第一時間妥善快速處置。發(fā)生重大網(wǎng)絡安全事件要及時報

-自治區(qū)衛(wèi)生計生委規(guī)劃信息處和自治區(qū)衛(wèi)生計生委信息中心。

四、其他

1.各市衛(wèi)生計生委（局）要將工作要求傳達到轄區(qū)所有縣（區(qū)）衛(wèi)生計生局、醫(yī)療衛(wèi)生機構，特別是二三級醫(yī)院，保證工作落實到位。

2.各直屬單位、醫(yī)科大學總醫(yī)院要按照工作要求，盡快落實，確保重要信息系統(tǒng)安全。

3.委機關各相關處室（局）要做好重要業(yè)務信息系統(tǒng)和網(wǎng)站的網(wǎng)絡信息安全管理工作。

4.各單位要確定一名信息安全聯(lián)絡人，并加入衛(wèi)生計生信息安全QQ群（群號：）及時掌握最新的預警通知和防范方法。

聯(lián)系人： 聯(lián)系電話：

附件：安全防范措施及工作建議

-附件

安全防范措施及工作建議

一、以預防為主，各單位要組織技術人員在服務器、網(wǎng)絡環(huán)境、應用三個層面進行安全風險檢查與加固

1.服務器層面，需要避免弱口令，避免多個系統(tǒng)使用同一口令，及時安裝漏洞補丁，關閉Windows共享服務、遠程桌面控制等不必要的服務，安裝防病毒、終端安全管理軟件，并及時更新將病毒庫。

2.網(wǎng)絡層面，要做好安全區(qū)域隔離工作，尤其針對重要業(yè)務系統(tǒng)及核心數(shù)據(jù)庫，應該設置獨立的安全區(qū)域，并做好區(qū)域邊界的安全防御，嚴格限制重要區(qū)域的訪問權限并關閉telnet、snmp等不必要、不安全的服務。

3.應用系統(tǒng)層面，各業(yè)務單位需要對應用系統(tǒng)進行安全滲透測試與加固，保障應用系統(tǒng)自身安全可控，并對業(yè)務系統(tǒng)及數(shù)據(jù)進行備份，并驗證備份系統(tǒng)及備份數(shù)據(jù)的可用性，一但主系統(tǒng)遭受攻擊，保障備份業(yè)務系統(tǒng)可以立即啟用；同時，需要做好備份系統(tǒng)與主系統(tǒng)的安全隔離工作，避免主系統(tǒng)和備份系統(tǒng)同時被感染、被攻擊。

二、日常工作中，各單位要加強系統(tǒng)使用過程的管理與網(wǎng)絡安全狀態(tài)的實時監(jiān)測

1.各單位一旦發(fā)現(xiàn)電腦中毒，立即斷網(wǎng)。按照日常防范步驟，檢查和落實漏洞修復等安全措施。嚴格禁止使用U盤、移動硬盤等可執(zhí)行擺渡攻擊的設備，同時盡快備份電腦中的重要文件和數(shù)據(jù)資料。

2.要常態(tài)化的開展安全檢查和評估，及時發(fā)現(xiàn)安全薄弱環(huán)節(jié)，及時修補安全漏洞和安全管理機制上的不足，保持系統(tǒng)的安全維持在一個相對較高的水平。

3.及時關注并跟進網(wǎng)絡安全的技術進步，有條件的單位，可以采取新型的基于大數(shù)據(jù)的流量的監(jiān)測設備并配合專業(yè)的分析服務，以便做到蠕蟲病毒的第一時間發(fā)現(xiàn)、第一時間處置、第一時間溯源

-根除。

三、具體安全防范措施

1.進一步健全數(shù)據(jù)備份機制，確保所有系統(tǒng)在本地有數(shù)據(jù)備份，第三級及以上信息系統(tǒng)、網(wǎng)絡要健全容災備份機制。

2.服務器盡量不要開放外網(wǎng)端口，關閉不必要的高危端口，不使用系統(tǒng)自帶遠程協(xié)助服務，使用其它遠程管理軟件，例如：TeamViewer或者瑞友天翼。

3.更改默認administrator管理帳戶，禁用GUEST來賓帳戶。

4.更改復雜密碼，字母大小寫，數(shù)字及符號組合的密碼，不低于10位字符。

5.外網(wǎng)服務器不要有訪問及修改內網(wǎng)計算機文件夾的權限。

6.設置帳戶鎖定策略，在輸入5次密碼錯誤后禁止登錄。

第五篇：病毒防范安全管理辦法

病毒防范安全管理辦法

總則

為了建立統(tǒng)一的病毒防范體系，快速應對各類病毒性突發(fā)事件的爆發(fā)、及時處置病毒可能帶來的危害建立本辦法。

范圍

本辦法適用于本單位信息系統(tǒng)服務器的病毒防范管理

安全管理規(guī)定

(一)預防管理

1)應構建預防為主、防殺結合的計算機病毒長效管理與應急處理機制。全行應部署統(tǒng)一的防病毒產(chǎn)品，實施全行統(tǒng)一的預警管理。2)各類計算機應安裝指定的防病毒軟件，啟用自動防護功能，服務器設備定期更新，終端設備實時進行更新。3)制訂防病毒應急預案，并定期開展應急演練。(二)檢測和控制管理

1)應確保防病毒系統(tǒng)和組件的正常升級。

2)防病毒管理人員應全面掌握所轄范圍內的防病毒系統(tǒng)運行狀態(tài)。3)計算機用戶發(fā)現(xiàn)所用電腦遭受病毒攻擊，且防病毒軟件無法正常清除病毒時，應立即報告防病毒管理人員，采取相應措施進行殺毒。4)外來電子郵件或外部必須交換的移動存貯介質，在使用前須進行病毒檢查。

5)病毒大規(guī)模爆發(fā)期間，應及時采取有效措施，防止病毒擴散，消除病毒隱患。

6)造成業(yè)務影響的病毒事件，處理后應編制存檔文件，說明病毒爆發(fā)原因、處理方法、整改方法。(三)監(jiān)督、檢查管理

1)防病毒管理人員須認真、及時地做好防病毒系統(tǒng)的維護、巡檢、監(jiān)督。

2)防病毒管理人員應定期分析、總結防病毒系統(tǒng)的運行情況，并每月進行歸納存檔。(四)教育與處罰

1)防病毒管理員應定期對計算機用戶進行防病毒培訓，介紹病毒感染途徑、破壞形式、造成的后果等，以提高計算機用戶對病毒的認知能力。

2)各類計算機使用人員應認真學習計算機病毒防治知識和技能，加強防范意識，自覺遵守有關計算機病毒防治規(guī)定。

3)對因工作嚴重過失、不安裝或不按規(guī)定使用防病毒軟件而造成計算機信息系統(tǒng)遭受病毒侵害，或故意輸入計算機病毒、蓄意危害和破壞計算機信息系統(tǒng)的行為，應根據(jù)相關規(guī)定進行處罰。