2018年常见勒索病毒(紧急处置方案)

2018年常见勒索病毒加密文件后缀
.gamma .combo .bip .ox4444 .help4444 .chak .alco .crypted .all4444 .china4444 .monkey4444 .snake4444 .Rat4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Horse4444 .Goat4444 .Monkey4444 .Rooster4444 .Dog4444 .Pig4444  

病毒攻击主要的突破边界手段可能为Windows远程桌面服务密码暴力破解，在进入内网后会进行多种方法获取登陆凭据并在内网横向传播。因此符合以下特征的机构将更容易遭到攻击者的侵害：

1. 存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。

2. 内网Windows终端、服务器使用相同或者少数几组口令。

3. Windows服务器、终端未部署或未及时更新安全加固和杀毒软件。

提供了以下处置建议

一、紧急处置方案

1、对于已中招服务器 下线隔离。

2、对于未中招服务器

1）在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。

2）开启Windows防火墙，尽量关闭3389、445、139、135等不用的高危端口。

3）每台服务器设置唯一口令，且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构，口令位数足够长（15位、两种组合以上）。

二、后续跟进方案

1）对于已下线隔离中招服务器，联系专业技术服务机构进行日志及样本分析。

2）服务器、终端防护
1. 所有服务器、终端应强行实施复杂密码策略，杜绝弱口令
2. 杜绝使用通用密码管理所有机器
3. 安装杀毒软件、终端安全管理软件并及时更新病毒库
4. 及时安装漏洞补丁
5. 服务器开启关键日志收集功能，为安全事件的追踪溯源提供基础

网络防护与安全监测
1. 对内网安全域进行合理划分。各个安全域之间限制严格的 ACL，限制横向移动的范围。
2. 重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御，严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务。
3. 在网络内架设 IDS/IPS 设备，及时发现、阻断内网的横向移动行为。
4. 在网络内架设全流量记录设备，以及发现内网的横向移动行为，并为追踪溯源提供良好的基础。

应用系统防护及数据备份
1. 应用系统层面，需要对应用系统进行安全渗透测试与加固，保障应用系统自身安全可控。
2. 对业务系统及数据进行及时备份，并验证备份系统及备份数据的可用性。
3. 建立安全灾备预案，一但核心系统遭受攻击，需要确保备份业务系统可以立即启用；同时，需要做好备份系统与主系统的安全隔离工作，辟免主系统和备份系统同时被攻击，影响业务连续性。

安全防护本身是一个动态的对抗过程，在以上安全加固措施的基础上，日常工作中，还需要加强系统使用过程的管理与网络安全状态的实时监测：
电脑中不使用不明来历的U盘、移动硬盘等存储设备；不接入公共网络，同时机构的内部网络中不运行不明来历的设备接入。
要常态化的开展安全检查和评估，及时发现安全薄弱环节，及时修补安全漏洞和安全管理机制上的不足，时刻保持系统的安全维持在一个相对较高的水平

最近病毒肆虐，为防止勒索病毒入侵电脑，建议正常安装卫士开启防护，提高密码强度，关闭不必要端口，定期更新补丁；具体详情可参考：
http://bbs.360.cn/thread-15507411-1-1.html