当前位置: 首页>>公告动态>>通知公告>>正文
信息中心关于GandCrab勒索病毒应急处置建议
时间:2019年03月15日 16:21   来源:   阅读:

GandCrab勒索病毒应急处置方案

一、病毒事件概述

近日, GandCrab5.2版本勒索病毒攻击多发,经分析此次病毒木马涉及到多个变种,传播途径多样包括WebLogic漏洞、CVE-2019-7238,NexusRepository Manager 3 远程代码执行漏洞、钓鱼邮件、网页挂马等

GandCrab 勒索病毒家族在国内传播广泛,曾使用鱼叉邮件、U 盘蠕虫、感染压缩包、下载器、远程桌面爆破、永恒之蓝、Web 服务器漏洞等各种方式传播,在 GandCrab  V5.2 版本病毒的传播途径中又开启了网页挂马方式,据 360 威胁情报中心监测显示,精心构造的挂马网站会通过色情站点等广告联盟渠道进行传播,对访客实施网页挂马攻击。当 GandCrab 被执行后会对计算机内的文件进行高强度的加密,并需要限时支付赎金后才能恢复被加密的文件。由于不能获得作者的解密密钥,目前的加密实现上也还未找到可利用的漏洞,GandCrab v5.2 版本暂时没有免费的解密方法和工具

根据本次事件特征分析,除已受到攻击单位外,其它同类型单位也面临风险,需积极应对。

二、病毒传播方式

目前已知的传播方式如下:

1.     定向鱼叉攻击邮件投放;

2.     垃圾邮件批量投放传播;

3.     网页挂马攻击;

4.     利用 CVE-2019-7238(NexusRepository Manager 3 远程代码执行漏洞)进行传播;

5.     利用 WebLogic CVE-2017-10271 漏洞进行传播;

6.     利用自动化机制病毒进行传播https://mp.weixin.qq.com/s/R-Ok96U5Jb2aaybUfsQtDQ

a)     通过 RDPVNC 等途径进行爆破并入侵;

b)     利用 U 盘、移动硬盘等移动介质进行传播;

c)     捆绑、隐藏在一些破解、激活、游戏工具中进行传播;

7.     感染 Web/FTP 服务器目录并进行传播主要传播端口为: 445135139 33895900 等端口。

三、紧急处置方案

结合《教育部科技司关于防范勒索病毒攻击发布紧急通知》相关要求,针对此类病毒个人电脑应急处置方案建议如下:

1.     GandCrab勒索软件会利用RDP(远程桌面协议),如果业务上无需使用远程桌面程序的,建议关闭。

2.     开启Windows防火墙,尽量关闭3389445139135等不用的端口。

3.     避免使用弱口令,每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。

4.     windows中禁用U盘的自动运行功能,不打开来历不明的邮件。

5.     及时安装系统补丁和安全防护程序(例如360安全防护软件)。

6.     一旦发觉电脑有异常情况及时联系信息技术中心处理(电话:87783677

 

上一条:四川电大腾讯企业邮箱使用方法

下一条:欢迎体验VR实训课程

打印】    【关闭

通知公告