近期,名为“GlobeImposter ”的勒索病毒再次爆发,中国众多用户“中招”。该病毒利用已知的Windows的系统漏洞之外,还利用Windows远程桌面服务相关端口进行传播,IT服务中心建议相关单位和个人用户做好以下措施:
(一)对于已感染主机直接拔除网线,断开网络连接:
由于采用非对称的加密算法,用户遭受攻击后,一般情况下,很难恢复数据,但部分勒索软件因软件实现逻辑问题,有一定还原机率。为了对抗勒索软件,众多杀软公司联合推出的解密工具:https://www.nomoreransom.org/,可以破解部分勒索软件病毒家族,用户可以进行尝试还原。
(二)对于尚未遭受攻击的用户,请使用如下建议进行操作:
1、建议关闭主机远程桌面协议(默认端口为TCP 3389)并在防火墙对TCP和UDP的135、137、139、445等端口进行关闭。
2、不点击来源不明的邮件以及附件,尤其是如下扩展名的附件: .js,.vbs,.exe,.scr,.bat等,附件中可能包含密码抓取工具或病毒。
(三)安全加固防护措施:
1、更改默认Administrator管理帐户密码,禁用GUEST来宾帐户;
2、更改为复杂密码,由字母大小写,数字及特殊符号组合的密码,不低于10位字符;不要使用电话号码,工号等纯数字作为账号密码;
3、设置帐户锁定策略,在输入5次密码错误后禁止登录;
4、及时更新Windows补丁 ,安装杀毒软件,设置退出或更改需要密码,防止进入关闭杀毒软件;
5、定期进行数据备份,如果是云服务器,一定要做好快照。
