首页 / 安全公告 / 正文
关于勒索病毒新变种的安全预警
2019-01-26 15:33  

最近,天津市通报中心监测到一款GarrantyDecrypt勒索病毒的新变种开始在国内传播。该勒索病毒通过RSA结合salsa20对文件进行加密,被加密的文件后缀会被修改为“NOSTRO”,加密过程严格遵守规则,且不区分文件类型。病毒在每次加密一个文件之前,都会使用CryptGenRandom接口生成一个随机数做为密钥,这样就保证了“一个文件一个密钥”。同时,在加密文件后该勒索病毒会立即销毁内存中的密钥信息,避免用户在中毒后通过内存找出密钥信息来解密文件,中招用户很难实现自救。攻击者在完成加密之后,会在文件夹下创建#RECOVERY_FILES#.txt文件,留下勒索信息,要求用户联系对方。

针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,所以各单位、各部门需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁。在此,建议各单位、各部门采取以下措施,预防勒索事件发生:

1. 多台机器,不要使用相同的账号和口令。

2. 登录口令要有足够的长度和复杂性,并定期更换登录口令。

3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份。

4. 定期检测系统和软件中的安全漏洞,及时打上补丁。

5. 信息系统责任部门定期检查服务器是否存在异常。查看范围包括:

A. 是否有新增账户

B. Guest是否被启用

C. Windows系统日志是否存在异常

D. 杀毒软件是否存在异常拦截情况

信息化建设办公室将定期检测系统和软件中的安全漏洞,并通知信息系统责任部门及时打上补丁。

如有问题请联系信息化建设办公室。  

联系电话:88288190  

                                                                                             信息化建设办公室

                                                                                        2019年1月26日  

关闭窗口