关于防范勒索病毒传播的预警通知

各位尊敬的客户：

近期，很多单位遭受到勒索病毒的攻击，该勒索病毒会利用感染的服务器在网络内进行自动传播，危害极大，个别服务器已被加密勒索且无法恢复。为保障客户网络安全，现提醒各位客户做好如下工作：
一、病毒分析
       根据样本分析为GlobeImposter 勒索病毒，主要攻击windows操作系统，主要是开启远程桌面服务的服务器，攻击者通过暴力破解服务器密码，对内网服务器发起扫描并人工投放病毒加密文件进行勒索，多家单位被入侵，致使相关系统瘫痪，用户无法正常办理业务。

      攻击方式：

      1.GlobeImposter攻击者大多利用弱口令漏洞、系统漏洞等方式获得远程登录用户名和密码，之后通过 RDP（远程桌面协议）远程登录目标服务器并运行勒索病毒程序。“ 黑客” 一旦能够成功登录服务器，就可以在服务器上为所欲为。即使服务器上安装了安全软件，也有可能会被黑客第一时间手动退出，以便于后续投毒勒索。

      2.不排除数据库漏洞、业务漏洞、U盘感染、匿名邮件、不安全wifi等的可能性。

二、针对该勒索病毒具体的防范建议

各单位要高度重视，认真开展风险排查与漏洞修复。 

特别提醒：目前遭受勒索病毒加密的文件无法修复，数据备份是行之有效的预防措施。（每天将数据库做一个异地备份，或备份在移动硬件上，备份完一定拔掉移动硬盘）

     1.检查和关闭非必要的远程桌面服务，因业务维护需要的远程桌面服务接收后应该及时关闭相关服务

     2.检查服务器文件是否正常，如服务器出现异常，联系专业的安全团队处理。

     3.避免将远程桌面服务（ RDP，默认端口为 3389）暴露在公网上，并关闭445、139、 135 等不必要的端口。
     4.将服务器密码修改为高强度的复杂密码。

     5.检查服务器和数据库漏洞。

     6.使用针对性的防勒索软件做全面的防勒索安全防护。

     7.严格执行内外网隔离制度

三、感染后的应对措施
当我们已经确认感染勒索病毒后，应当及时采取必要的自救措施。之所以要进行自救，主要是因为：等待专业人员的救助往往需要一定的时间，采取必要的自救措施，可以减少等待过程中，损失的进一步扩大。例如：与被感染主机相连的其他服务器也存在漏洞或是有缺陷，将有可能也被感染。所以，采取自救措施的目的是为了及时止损，将损失降到最低。

      1.正确处置方法
      1) 隔离中招主机
当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机。

      2) 排查业务系统
在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。另外，备份系统如果是安全的，就可以避免支付赎金，顺利的恢复文件。所以，当确认服务器已经被感染勒索病毒后，并确认已经隔离被感染主机的情况下，应立即对核心业务系统和备份系统进行排查。

      2.错误的处置方法
      1) 使用移动存储设备
当确认服务器已经被感染勒索病毒后，在中毒电脑上使用 U 盘、移动硬盘等
移动存储设备。当电脑感染病毒时，病毒也可能通过 U 盘等移动存储介质进行传播。所以，当确认服务器已经被感染勒索病毒后，切勿在中毒电脑上使用 U 盘、移动硬盘等设备。
      2) 读写中毒主机上的磁盘文件
当确认服务器已经被感染勒索病毒后，反复读取磁盘上的文件可能会而降低数据正确恢复的概率。

上海汇尼信息科技有限公司

2020.9.11