第一篇：關于防范勒索病毒的緊急通知

關于防范勒索病毒的緊急通知

校園網用戶：

近期網絡上開始流傳一種被稱之為“勒索病毒”的惡意程序，該類程序可能會通過電子郵件附件、Office文檔、JS腳本、帶毒網址等途徑傳播。一旦中招，病毒會自動以極高強度的加密方式，加密硬盤上所有Office文檔、圖像、視頻、壓縮包等類型的文件，目前全球業界尚未找到有效的技術破解方法，即一旦工作文檔被病毒破壞，基本上不可能恢復，這將給單位和個人帶來巨大損失。

尤其值得關注的是，由于勒索病毒采取了多種先進的對抗技術，使得病毒的每次感染都會自我變形加密，從而繞過所有殺毒軟件的特征追殺，即依賴殺軟無法有效對抗勒索病毒。

信息中心特別提醒：

1.不要打開來源不明的電子郵件附件，尤其是帶有各種誘惑性語言的電子郵件附件。即使熟人發送的電子郵件，一旦發現不符合邏輯的、與最近交流對不上號的或其他莫名其妙的內容、添加了不常見的附件等，均應當先通過電話、QQ等其他方式確認，否則不可貿然打開附件。

2.不要點擊安全狀態不明的網頁地址。對于QQ、電子郵件以及網站、論壇等場合見到的網站地址，如果不能確定其安全性，請切勿點擊。對于以一串無意義亂碼組成的域名、其他不熟悉的域名，更不要隨便點擊。

3.禁用自動播放功能。U盤、移動硬盤也是一個重要的病毒傳播途徑，病毒可能會通過移動設備的自動播放功能而自動激活、感染。禁止自動播放的步驟：

運行（win+r鍵）→輸入gpedit.msc并回車→計算機配置→管理模板→Windows組件→自動播放策略→關閉自動播放→已啟用→全部驅動器→確定。

4.禁用危險文件類型和危險文件。步驟：運行（win+r鍵）→輸入secpol.msc并回車→軟件限制策略→鼠標右鍵點擊，選擇“創建軟件限制策略”→其他規則→右擊，新建路徑規則→在路徑欄輸入：Wscript.exe→確定。重復前述“新建路徑規則”操作，但路徑欄分別輸入Cscript.exe和*.scr，再建立兩條路徑規則；查看一下當前所有硬盤盤符，確定如果插入U盤或移動硬盤時可能會用到哪些盤符，比如U盤盤符為H:，則再次創建一條路徑規則，在路徑中輸入H:*.*；如果移動硬盤有多個分區或可能同時使用多只U盤，則以此類推創建更多的盤符規則。這樣可有效阻止所有JS腳本以及.SCR類型的文件被加載，并且阻止移動介質上直接運行任何可執行文件（文檔打開不受影響），可極大地提高移動介質的安全性。注意：對于Home版（家庭版）的操作系統，本項創建策略功能無法使用。

5.注重工作文檔和個人重要數據的備份。可通過移動磁盤、網盤等方式定期離線備份重要工作文檔；當前緊急、重要的工作除了這些方式外，還可向自己的電子郵箱以附件發送一份電子郵件作為臨時備份。萬一發生感染勒索病毒的情況，請切勿自行重裝系統、嘗試打開加密文件等，可第一時間關閉計算機電源并向信息中心尋求幫助，也許能夠最大限度挽救工作數據。

特此通知，請廣大校園網用戶加強防范。

信息化建設與發展中心 2016年4月6日

第二篇：關于應對勒索病毒爆發的緊急通知

關于應對勒索病毒爆發的緊急通知

5月12號，全球爆發最大規模的勒索病毒網絡攻擊，攻擊者鎖定受害者電腦文檔，致使受害者必須向攻擊者支付費用方可解鎖。為避免病毒感染擴大，保障您的文件安全，信息中心建議用戶立即按以下5點安全措施進行操作：

1.請立即拔掉網線，盡快完成第2步操作后，再接上網線進行后續操作；同時，告知您周圍未開機的同事，拔掉網線，再按下面步驟操作。

2.開啟系統防火墻，控制面板-Windows防火墻-點擊“啟用Windows防火墻”并勾選下面兩個復選框，參見下圖設置。

3.更新windows系統補丁

查看windows系統版本，可右鍵點擊“我的電腦”-“屬性”查看系統版本，點擊對應補丁下載地址，下載后雙擊運行，按照提示完成安裝后務必重啟電腦；

Winxp sp3 x86補丁下載地址： https://download.microsoft.com/download/4/1/B/41B4AFF6-C3BC-48E6-9A99-4C483BD098D5/WindowsXP-KB4012598-x86-Embedded-Custom-CHS.exe

Windows 7 sp1 x64 補丁下載地址：

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

Win8 x64補丁下載地址：

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

Win10 x64補丁下載地址：

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu

微軟補丁信息，可參考：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

4.請注意定期備份重要數據到移動硬盤。

5.若發現電腦感染了勒索病毒，請立即拔掉網線，并報告當地信息工程部。

特此通知

中國南方航空股份公司信息中心

2017年5月14日

第三篇：關于勒索病毒的報告

關于勒索病毒的報告

如果您對網絡安全方面的新聞有所關注，應該聽說多家公司受到勒索軟件，特別是“Locky”的影響，其中不乏國內知名公司。這款勒索軟件于今年二月露面并迅速成長為全球第二大勒索軟件系列，排名僅次于CryptoWall，位于TeslaCrypt之前。雖然美國、法國與日本是受Locky影響最嚴重的三個國家，但是勒索軟件同樣肆虐其他亞太地區，尤其是中國。

最近發生的這波網絡攻擊浪潮使許多機構與用戶深表擔憂，您應該也不例外。勒索軟件是很齷齪的事物，但是經過細心準備，您可以顯著降低感染風險，并且減少感染之后對您或您的機構造成的影響。什么是勒索軟件?

勒索軟件是一種惡意軟件，可以感染設備、網絡與數據中心并使其癱瘓，直至用戶或機構支付贖金使系統解鎖。由Fortinet和其他幾家知名安全公司組成的網絡威脅聯盟于2015年10月發布了關于勒索軟件的報告，報告預計此勒索軟件已經給受害者帶來至少3億2500萬美元的損失了。

勒索軟件通常采取以下幾種方式中的一種：1、2、3、4、5、感染操作系統，使設備無法啟動。加密驅動器或一組文件或文件名。

一些惡意版本使用定時器開始刪除文件，直至支付贖金。

所有勒索軟件都要求支付贖金以解鎖或釋放被鎖定或加密的系統、文件、或數據。受感染用戶的設備屏幕上通常會顯示類似的信息：

· “您的計算機已經感染病毒。點擊此處可以解決問題。”

· “您的計算機被用于訪問有非法內容的網站。您必須支付XXX美元罰金才能使計算機解鎖。”

· “您計算機上的所有文件已被加密。您必須在72小時之內支付贖金才能恢復數據訪問。” 我是如何被感染的?

勒索軟件有多種傳輸方式：

1、最常見的是電子郵件中附帶的已感染文件：

例如，今天我收到一份自稱來自銀行的電子郵件。郵件中有正確的銀行標識、真實的銀行網址鏈接、以及我的名字。信息的正文聲稱檢測到我的賬戶存在可疑活動，并且我需要安裝附帶的文件來驗證我的證書。這看起來像合法的問題。其實不是，這是一個釣魚攻擊。當然，對于我們來說真相就是銀行不會發送文件并要求安裝——當然不會驗證您的證書。而是附帶的文件已受到勒索軟件的感染，如果我點擊了該文件，勒索軟件就會加載到我的系統中。

2、路過式下載感染方式：

用戶訪問受感染的網頁并在用戶不知情的情況下下載并安裝了惡意軟件。勒索軟件同樣通過社交媒體擴散，比如網頁式即時通訊應用程序。而且最近，脆弱的網頁服務器被用作進入點來訪問機構內部網絡。

3、軟件升級方式感染：

用戶在電腦使用過程中，經常提醒XX軟件需要升級，請及時更新等提示。如：提示升級Adobe Flash軟件 引起Cerber 病毒感染等。

4、軟件安裝中的隱藏鏈接引發感染：

用戶在安裝軟件過程中，都會隱藏一些不必要的鏈接，在您安裝軟件的同時將這些不必要的鏈接激活，從而感染病毒。怎樣才能阻止勒索軟件?

1、升級企業防病毒到最新病毒庫。

2、注意備份重要文件，定期異地備份文件數據，以規避惡意軟件可能帶來的風險。

3、提醒員工不要打開來歷不明的郵件，點擊打開電子郵件附件、或點擊電子郵件中來路不明的網頁鏈接。

4、不要隨意下載并安裝與工作不相關的程序軟件。

5、用戶在瀏覽網頁過程中，注意不要隨意打開提示窗口或浮屏窗口。

6、暫時取消對程序、軟件的升級更新。

7、無法訪問外網的客戶端，不會受該勒索軟件影響。發生勒索病毒后的解決辦法?

1、發生勒索病毒如果你資料特別重要需要支付。按黑客給你的比特幣地址支付xxx比特幣即可。2、3、4、5、目前，國內外沒有破解工具可以讓cerber加密文件恢復正常。

預防此類勒索病毒的需要每日更新殺毒軟件病毒庫，備份你的重要文件。發生勒索病毒的PC機，及時斷開網絡；不要與公司局域網絡鏈接。

PC機的維修，需要將整個機器硬盤格式化，您存儲的數據全部丟失。（注：企業對PC機維修，建議更換硬盤。）

第四篇：關于加強防范新型升級勒索病毒工作的通知

關于做好醫療衛生領域重要信息系統安全管理暨

加強防范新型升級勒索病毒工作的通知

各市、縣（區）衛生計生委（局），委機關各處室（局），各直屬單位，各級醫療衛生機構：

根據國家和自治區相關要求，為加強我省醫療衛生領域重要信息系統安全管理，做好勒索病毒的防范工作，確保重要信息系統和網站穩定運行，保障網絡和系統安全。現將有關事項及要求通知如下：

一、加強組織機構，責任到人

各單位要加強網絡信息安全組織機構，整合技術力量，確保有機構有人員負責網絡信息安全保障工作。要落實重要信息系統安全責任制，做到任務到人，責任到人。

二、全面排查，整改加固

近期，要組織專門技術力量，對重要信息系統和重點網站開展全面、細致的安全漏洞監測、僵木蠕等惡意代碼查殺、滲透測試等，對系統運維和安全狀況做到心中有數。對通過排查、檢測發現的安全隱患和漏洞，以及開展等保測評工作中存在的問題，要及時、規范的進行整改加固，切實提高信息系統抵御網站攻擊、非法控制和竊密等工作的能力和水平。

同時，針對近期國內發生的多起醫院感染新型勒索病毒事件，各二三級醫院要重點做好防范變種勒索病毒感染工作，加強防范意識，加大防范力度。

三、監測預警，確保安全

在做好安全防范工作的同時，各單位要在重要時間節點，嚴 格落實值班報告制度，通過人工和技術手段確保重要信息系統24 小時實時監測、預警和系統的應急處置，隨時掌握重要信息系統 和重點網站運行狀況及保障情況，確保發生網絡安全事件（故）時能夠第一時間妥善快速處置。發生重大網絡安全事件要及時報

-自治區衛生計生委規劃信息處和自治區衛生計生委信息中心。

四、其他

1.各市衛生計生委（局）要將工作要求傳達到轄區所有縣（區）衛生計生局、醫療衛生機構，特別是二三級醫院，保證工作落實到位。

2.各直屬單位、醫科大學總醫院要按照工作要求，盡快落實，確保重要信息系統安全。

3.委機關各相關處室（局）要做好重要業務信息系統和網站的網絡信息安全管理工作。

4.各單位要確定一名信息安全聯絡人，并加入衛生計生信息安全QQ群（群號：）及時掌握最新的預警通知和防范方法。

聯系人： 聯系電話：

附件：安全防范措施及工作建議

-附件

安全防范措施及工作建議

一、以預防為主，各單位要組織技術人員在服務器、網絡環境、應用三個層面進行安全風險檢查與加固

1.服務器層面，需要避免弱口令，避免多個系統使用同一口令，及時安裝漏洞補丁，關閉Windows共享服務、遠程桌面控制等不必要的服務，安裝防病毒、終端安全管理軟件，并及時更新將病毒庫。

2.網絡層面，要做好安全區域隔離工作，尤其針對重要業務系統及核心數據庫，應該設置獨立的安全區域，并做好區域邊界的安全防御，嚴格限制重要區域的訪問權限并關閉telnet、snmp等不必要、不安全的服務。

3.應用系統層面，各業務單位需要對應用系統進行安全滲透測試與加固，保障應用系統自身安全可控，并對業務系統及數據進行備份，并驗證備份系統及備份數據的可用性，一但主系統遭受攻擊，保障備份業務系統可以立即啟用；同時，需要做好備份系統與主系統的安全隔離工作，避免主系統和備份系統同時被感染、被攻擊。

二、日常工作中，各單位要加強系統使用過程的管理與網絡安全狀態的實時監測

1.各單位一旦發現電腦中毒，立即斷網。按照日常防范步驟，檢查和落實漏洞修復等安全措施。嚴格禁止使用U盤、移動硬盤等可執行擺渡攻擊的設備，同時盡快備份電腦中的重要文件和數據資料。

2.要常態化的開展安全檢查和評估，及時發現安全薄弱環節，及時修補安全漏洞和安全管理機制上的不足，保持系統的安全維持在一個相對較高的水平。

3.及時關注并跟進網絡安全的技術進步，有條件的單位，可以采取新型的基于大數據的流量的監測設備并配合專業的分析服務，以便做到蠕蟲病毒的第一時間發現、第一時間處置、第一時間溯源

-根除。

三、具體安全防范措施

1.進一步健全數據備份機制，確保所有系統在本地有數據備份，第三級及以上信息系統、網絡要健全容災備份機制。

2.服務器盡量不要開放外網端口，關閉不必要的高危端口，不使用系統自帶遠程協助服務，使用其它遠程管理軟件，例如：TeamViewer或者瑞友天翼。

3.更改默認administrator管理帳戶，禁用GUEST來賓帳戶。

4.更改復雜密碼，字母大小寫，數字及符號組合的密碼，不低于10位字符。

5.外網服務器不要有訪問及修改內網計算機文件夾的權限。

6.設置帳戶鎖定策略，在輸入5次密碼錯誤后禁止登錄。

第五篇：病毒防范安全管理辦法

病毒防范安全管理辦法

總則

為了建立統一的病毒防范體系，快速應對各類病毒性突發事件的爆發、及時處置病毒可能帶來的危害建立本辦法。

范圍

本辦法適用于本單位信息系統服務器的病毒防范管理

安全管理規定

(一)預防管理

1)應構建預防為主、防殺結合的計算機病毒長效管理與應急處理機制。全行應部署統一的防病毒產品，實施全行統一的預警管理。2)各類計算機應安裝指定的防病毒軟件，啟用自動防護功能，服務器設備定期更新，終端設備實時進行更新。3)制訂防病毒應急預案，并定期開展應急演練。(二)檢測和控制管理

1)應確保防病毒系統和組件的正常升級。

2)防病毒管理人員應全面掌握所轄范圍內的防病毒系統運行狀態。3)計算機用戶發現所用電腦遭受病毒攻擊，且防病毒軟件無法正常清除病毒時，應立即報告防病毒管理人員，采取相應措施進行殺毒。4)外來電子郵件或外部必須交換的移動存貯介質，在使用前須進行病毒檢查。

5)病毒大規模爆發期間，應及時采取有效措施，防止病毒擴散，消除病毒隱患。

6)造成業務影響的病毒事件，處理后應編制存檔文件，說明病毒爆發原因、處理方法、整改方法。(三)監督、檢查管理

1)防病毒管理人員須認真、及時地做好防病毒系統的維護、巡檢、監督。

2)防病毒管理人員應定期分析、總結防病毒系統的運行情況，并每月進行歸納存檔。(四)教育與處罰

1)防病毒管理員應定期對計算機用戶進行防病毒培訓，介紹病毒感染途徑、破壞形式、造成的后果等，以提高計算機用戶對病毒的認知能力。

2)各類計算機使用人員應認真學習計算機病毒防治知識和技能，加強防范意識，自覺遵守有關計算機病毒防治規定。

3)對因工作嚴重過失、不安裝或不按規定使用防病毒軟件而造成計算機信息系統遭受病毒侵害，或故意輸入計算機病毒、蓄意危害和破壞計算機信息系統的行為，應根據相關規定進行處罰。