各位老師：

近日，互聯(lián)網(wǎng)上出現(xiàn)一種Sigrun勒索病毒，其通過垃圾郵件、網(wǎng)站捆綁軟件等方式進行傳播。該病毒一旦植入到服務(wù)器或個人電腦，將把系統(tǒng)文件加密為.sigrun的文件，進而向受害者勒索虛擬貨幣。該新型Sigrun勒索病毒采用RSA1024加密算法，目前無法解密。

為保證校區(qū)個人電腦及服務(wù)器的正常使用和數(shù)據(jù)安全，請各位老師根據(jù)涉及威脅自身業(yè)務(wù)情況，采取防護措施。

Sigrun勒索病毒概述

（一）漏洞級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急。）

（二）影響范圍

開啟了445端口SMB網(wǎng)絡(luò)共享協(xié)議，開啟局域網(wǎng)共享文件功能，開啟RDP 3389端口且存在弱口令安全隱患的Windows系統(tǒng)（包括個人版和服務(wù)器版）。

（三）排查和處置

排查方法：

1.檢查系統(tǒng)是否打上了最近系統(tǒng)漏洞補丁包；

2.檢查系統(tǒng)是否開啟了445端口的SMB網(wǎng)絡(luò)共享協(xié)議，或者不必要的共享端口；

3.檢查系統(tǒng)是否存在.sigrun后綴文件。

處置方案：

1.隔離感染主機：已中毒計算機盡快隔離，關(guān)閉所有網(wǎng)絡(luò)連接，禁用網(wǎng)卡；

2.切斷傳播途徑：關(guān)閉SMB 445等網(wǎng)絡(luò)共享端口，關(guān)閉異常的外聯(lián)訪問，網(wǎng)絡(luò)共享端口關(guān)閉參考《網(wǎng)絡(luò)共享端口關(guān)閉操作流程》；

3.查找攻擊源：手工抓包分析或借助態(tài)勢感知類產(chǎn)品分析。

（四）安全建議

1.不從不明網(wǎng)站下載相關(guān)的軟件，不要點擊來源不明的郵件以及附件；

2.及時給電腦打補丁，修復(fù)漏洞；

3.對重要的數(shù)據(jù)文件定期進行非本地備份；

4.安裝專業(yè)的第三方反病毒軟件進行查殺；

5.關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口，如：445、135、139、3389等。

注意：采取加固前請將資料備份，并進行充分測試。

信息與科技管理部

2018年5月29日