各学院、各单位：
  接上级部门通报，近期“GandCrab V5.2勒索病毒”和“Globelmposter3.0勒索病毒”接连大规模爆发，通过远程桌面3389或445共享端口进行传播，有进一步扩散趋势，请各单位及时进行风险预警，做好排查处置工作。具体事项如下：
  1、服务器主机：开启登录密码防暴力破解功能，封禁主机135、139、445等暴露端口，关闭不必要的文件共享；及时升级操作系统安全补丁，升级Web、数据库等服务程序，防止病毒利用漏洞传播；
  2、办公终端：在Windows中禁用U盘的自动运行功能，及时安装杀毒软件，并且更新到最新，采用高强度的密码，避免使用弱口令密码，并定期更换密码；及时升级操作系统安全补丁，防止病毒利用系统漏洞传播；
  3、个人：不要点击来源不明的邮件以及附件，请注意备份重要文档, 备份的最佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储;
  4、中勒索病毒后应急处置：对已感染主机或服务器采取断网措施，防止病毒扩散蔓延。勒索病毒加密后会将原文件删除，但操作系统只是删除了文件索引，文件实体还在，只是文件名被抹掉了。发现文档被加密后，不要往原硬盘上再拷贝文件，马上外挂一个移动硬盘，对原操作系统做全盘数据恢复，在恢复的文件中检查是否有重要文件。
  各单位一旦发现网站系统、办公终端遭攻击后请立即处置并向信息化建设办公室报告，联系电话：0591-22866170转311。
 

信息化建设办公室

2019年3月13日

附：“GandCrab”勒索病毒和“Globelmposter”勒索病毒”说明
  1、“GandCrab”勒索病毒
  “GandCrab”勒索病毒使用RSA加密算法进行强加密，导致加密后的文件，无法被解密，其传播方式主要有：垃圾邮件传播、网页挂马攻击、RDP 和 VNC 爆破入侵、U 盘和移动硬盘传播、捆绑、隐藏在一些破解、激活、游戏工具中传播、感染 Web/FTP 服务器目录传播；主要传播端口：3389和445。
  2、“Globelmposter3.0”勒索病毒
  “Globelmposter3.0”勒索病毒是用自带的密码本破解服务器远程桌面3389端口服务的口令，破解后实现自动登录并把病毒体拷贝到服务器上运行起来，运行后首先把本地文档都加密勒索，加密后的文件扩展名为*4444，然后再把本机作为跳板，扫描内网开放的3389服务，继续层层感染内网服务器。
  3、境外某黑客组织对我国有关政府部门开展勒索病毒邮件攻击。邮件主题为“你必须在3月11日下午3点向警察局报到！”，发件人名为“Min，Gap Ryong”，邮件附件名为“03-11-19.rar”。经分析研判，该勒索病毒版本号为GANDCRAB V5.2，是2019年2月最新升级的勒索病毒版本，运行后将对用户主机硬盘数据全盘加密，并让受害用户访问网址“https://www.torproject.org/”下载Tor浏览器，随后通过Tor浏览器登录攻击者的数字货币支付窗口http://gandcrabmfe6mnef.onion/1812a265c3857fa，要求受害用户缴纳赎金。目前，我国部分政府部门邮箱已遭到攻击。