近期,各途徑網(wǎng)絡(luò)安全預(yù)警通報(bào)顯示,疑似Wannacry等勒索病毒的傳播和攻擊情況增多。鑒于勒索病毒對(duì)主機(jī)數(shù)據(jù)和業(yè)務(wù)運(yùn)行的嚴(yán)重影響,請(qǐng)學(xué)校師生保持警惕,持續(xù)做好防范Wannacry等勒索病毒工作,對(duì)疑似Wannacry等勒索病毒感染情況第一時(shí)間排查和掃描,定期備份數(shù)據(jù)并離線保存,避免發(fā)生網(wǎng)絡(luò)安全事件和個(gè)人數(shù)據(jù)損失。
以下結(jié)合國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布《勒索軟件防范指南》對(duì)勒索軟件(病毒)的防范、疑似排查和應(yīng)急處置做簡(jiǎn)單介紹,詳情參見(jiàn)本站已發(fā)布勒索病毒防護(hù)相關(guān)內(nèi)容。
一、勒索軟件防范九要、四不要
防范勒索軟件要做到以下“九要”
1、要做好資產(chǎn)梳理與分級(jí)分類(lèi)管理。
2、要備份重要數(shù)據(jù)和系統(tǒng)。
3、要設(shè)置復(fù)雜密碼并保密。
4、要定期做好安全風(fēng)險(xiǎn)評(píng)估。
5、要常殺毒、關(guān)端口。安裝殺毒軟件并定期更新病毒庫(kù),定期全盤(pán)殺毒;關(guān)閉不必要的服務(wù)和端口,包括不必要的遠(yuǎn)程訪問(wèn)服務(wù)(3389端口、22端口),以及不必要的135、139、445等局域網(wǎng)共享端口等。
6、要做好身份驗(yàn)證和權(quán)限管理。
7、要嚴(yán)格訪問(wèn)控制策略。
8、要提高人員安全意識(shí)。
9、要制定應(yīng)急響應(yīng)預(yù)案。
防范勒索軟件要做到以下“四不要”
1、不要點(diǎn)擊來(lái)源不明的郵件。勒索軟件攻擊者常常利用受害者關(guān)注的熱點(diǎn)問(wèn)題發(fā)送釣魚(yú)郵件,甚至還會(huì)利用被攻陷的受害者單位組織或熟人郵箱發(fā)送釣魚(yú)郵件,不要點(diǎn)擊此類(lèi)郵件正文中的鏈接或附件內(nèi)容。如果收到了單位組織內(nèi)或熟人的可疑郵件,可直接撥打電話向其核實(shí)。
2、不要打開(kāi)來(lái)源不可靠的網(wǎng)站。不瀏覽色情、賭博等不良信息網(wǎng)站,此類(lèi)網(wǎng)站經(jīng)常被勒索軟件攻擊者發(fā)起掛馬、釣魚(yú)等攻擊。
3、不要安裝來(lái)源不明的軟件。建議不要從不明網(wǎng)站下載安裝軟件,也不要安裝陌生人發(fā)送的軟件,同時(shí)警惕勒索軟件偽裝為正常軟件的更新升級(jí)。
4、不要插拔來(lái)歷不明的存儲(chǔ)介質(zhì)。不要隨意將來(lái)歷不明的U盤(pán)、移動(dòng)硬盤(pán)、閃存卡等移動(dòng)存儲(chǔ)設(shè)備插入機(jī)器。
二、勒索軟件疑似排查
當(dāng)接到機(jī)器疑似感染勒索軟件的通報(bào)后,不要驚慌,可立即開(kāi)展以下排查和工作,使用主流防病毒軟件和安全管理軟件對(duì)機(jī)器全部硬盤(pán)進(jìn)行掃描,排查和清理疑似病毒、木馬問(wèn)題,第一時(shí)間清理病毒和木馬,升級(jí)主機(jī)操作系統(tǒng)補(bǔ)丁,降低勒索軟件可能產(chǎn)生的危害。
1、確認(rèn)機(jī)器備份數(shù)據(jù)。如機(jī)器有定期備份,切記在確認(rèn)機(jī)器安全良好前不要連接存放備份數(shù)據(jù)的存儲(chǔ)設(shè)備;如機(jī)器沒(méi)有定期備份,建議先期對(duì)主機(jī)重要數(shù)據(jù)進(jìn)行備份,并將備份離線(與機(jī)器斷開(kāi))保存,避免掃描主機(jī)過(guò)程中可能出現(xiàn)的數(shù)據(jù)損害。
2、使用安全類(lèi)軟件進(jìn)行排查。使用主流防病毒軟件和安全管理軟件(如360殺毒和360安全衛(wèi)士、火絨安全軟件等),對(duì)機(jī)器進(jìn)行病毒掃描和木馬查殺,第一時(shí)間清理病毒和木馬,并升級(jí)主機(jī)操作系統(tǒng)補(bǔ)丁。如果主機(jī)存在明顯運(yùn)行異常而無(wú)法修復(fù),可以慎重考慮重裝操作系統(tǒng)和全盤(pán)查殺清理等方式降低安全隱患。
3、確認(rèn)機(jī)器安全狀況。經(jīng)過(guò)排查未發(fā)現(xiàn)明顯安全問(wèn)題,可以參考勒索軟件防范的“九要”和“四不要”做好日常防護(hù);如果機(jī)器勒索軟件發(fā)作,需要參考勒索軟件應(yīng)急處置方法及時(shí)斷網(wǎng)處置并恢復(fù)主機(jī)運(yùn)行。
三、勒索軟件應(yīng)急處置方法
當(dāng)機(jī)器感染勒索軟件后,不要驚慌,可立即開(kāi)展以下應(yīng)急工作,降低勒索軟件產(chǎn)生的危害。
1、隔離網(wǎng)絡(luò)。采用拔掉網(wǎng)線或者禁用網(wǎng)絡(luò)等方式切斷受感染機(jī)器的網(wǎng)絡(luò)連接,避免網(wǎng)絡(luò)內(nèi)其他機(jī)器被進(jìn)一步感染滲透。
2、分類(lèi)處置。當(dāng)發(fā)現(xiàn)機(jī)器上重要文件尚未被加密時(shí),應(yīng)立即終止勒索軟件進(jìn)程或者關(guān)閉機(jī)器,及時(shí)止損;當(dāng)發(fā)現(xiàn)機(jī)器上重要文件已被全部加密時(shí),可保持機(jī)器開(kāi)機(jī)原狀態(tài)等待專(zhuān)業(yè)處置。
3、及時(shí)報(bào)告。及時(shí)報(bào)告網(wǎng)絡(luò)管理員,通知其他可能會(huì)受到勒索軟件影響的人員。造成重大影響時(shí),及時(shí)向網(wǎng)絡(luò)安全主管部門(mén)報(bào)告。
4、排查加固。立即視情況切斷網(wǎng)絡(luò)內(nèi)機(jī)器間不必要的網(wǎng)絡(luò)連接,修改網(wǎng)絡(luò)內(nèi)機(jī)器間的弱口令密碼。全面排查勒索軟件植入途徑,并及時(shí)堵塞漏洞。盡快對(duì)網(wǎng)絡(luò)內(nèi)機(jī)器進(jìn)行全面漏洞掃描與安全加固。
5、專(zhuān)業(yè)恢復(fù)。請(qǐng)專(zhuān)業(yè)公司和人員進(jìn)行數(shù)據(jù)和系統(tǒng)恢復(fù)工作。
本站已發(fā)布勒索病毒防護(hù)相關(guān)內(nèi)容,以供參考: