Archive for 三月, 2019

关于防范GANDCRAB勒索病毒的紧急通知

Posted by 王宇 on 15th 三月 2019

近期GANDCRAB勒索病毒活跃,该类病毒危害极大,通过Windows远程桌面暴力破解、恶意邮件、操作系统漏洞利用、U盘移动介质等途径传播,感染后受害者主机中的文件将被加密,且一般无法解密,须缴纳高额赎金后才可能找回原有文件。为控制病毒感染扩散,确保学校不发生连片式的网络安全事件,现就防范GANDCRAB勒索病毒紧急通知如下:
一、加强主机安全防护
系统排查本人电脑终端状态,检查Windows系统补丁升级状况,禁用U盘自动运行功能,临时关闭主机3389等端口,安装主流杀毒软件和升级病毒库,不随意打开来源不明的电子邮件附件等,参照《附件1. 防范GANDCRAB勒索病毒安全防护措施》做好安全防护措施。
二、及时处置病毒感染情况
如发现勒索病毒感染情况,应立即断开网络,并参照《附件2. 感染网络勒索病毒应急处置建议》进行处置,漏洞修复并验证后才可恢复联网。
信网办值班电话:024-83687240/83681656
附件:
1. 防范GANDCRAB勒索病毒安全防护措施
2. 感染网络勒索病毒应急处置建议
3. GANDCRAB勒索病毒防范指南

信息化建设与网络安全办公室
2019年3月15日

Posted in 校园网安全 | 18 Comments »

漏洞通报:关于近期利用3389端口传播Globelmposter3.0勒索病毒预警通告

Posted by 王宇 on 13th 三月 2019

近日,多个行业发现内部服务器感染新型勒索病毒的情况,经分析为Globelmposter3.0或相关变种,请广大师生提高信息安全防范意识,提前做好防范工作。
Globelmposter3.0勒索病毒的工作原理是,病毒程序用自带的密码本破解服务器远程桌面3389端口服务的口令,破解后实现自动登录并把病毒体拷贝到服务器上运行起来,运行后首先把本地文档都加密勒索,然后再把本机作为跳板,扫描内网开放的3389服务,继续层层感染内网服务器。

由于Globelmposter3.0采用RSA+AES算法加密,目前该勒索病毒加密的文件暂无解密工具,请使用以下手段加强应急防护,避免出现被勒索状况。
1、不点击来源不明的邮件以及附件,不轻易打开和解压缩附件,尤其是如下扩展名的附件:.js,.vbs,.exe,.scr,.bat,.rar,.zip等;
2、更改默认Administrator管理帐户,禁用GUEST来宾帐户;更改复杂密码,字母大小写,数字及符号组合的密码,不低于10位字符;不要使用电话号码,学号等纯数字作为账号密码;设置帐户锁定策略,在输入5次密码错误后禁止登录;
3、安装主流杀毒软件,升级病毒库,对相关系统进行全面扫描查杀;在Windows中禁用U盘的自动运行功能;及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播;
4、定期进行数据备份;
5、服务器尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,3389,135,139等。

Posted in 校园网安全 | 13 Comments »

漏洞通报:关于Windows域环境存在远程代码执行隐患风险的安全预警通报

Posted by 王宇 on 9th 三月 2019

来源:https://www.sohu.com/a/299736320_120106425?_f=index_pagerecom_16

近日,安全机构监测发现一个对Windows域环境造成严重威胁的攻击方案,安全研究人员将已经公开的多个Windows特性进行了串联,在一定条件下实现了直接控制域内任何主机的攻击效果。具体情况如下:

一、漏洞基本情况

攻击者在已经进入了目标内网环境并控制了任意一台机器后,可以发动此攻击方案来攻击同一广播域内的其他加入了Windows域的机器。攻击发动后,生效时间与被攻击主机的配置有关,可能很快生效,也有可能需要更长时间。

二、影响范围

使用Windows2012(及更高版本)做域控制器的Windows域环境

三、网络安全提示

针对上述情况,请大家及时做好以下防护措施:

1.尽快采取有效措施进行安全防范。适用于该病毒的缓解措施包括:一是在所有域控制器上打开强制LDAP签名与LDAPS Channel Binding 功能。二是将域内含有敏感权限的用户加入ProtectedUsers组的介绍。三是将域内含有敏感权限的用户设置为“敏感账户,不能被委派”。

2.采取更多临时缓解措施。如环境内没有用到WPAD,可通过下发域策略禁用域内主机的WinHttpAutoProxySvc服务;如环境内没有用到IPV6,可通过主机防火墙或在网络层面限制网络中的DHCPv6流量。

3.开展自查。对自己的信息系统开展自查,对重要的数据、文件进行定期备份。

Posted in 校园网安全 | 4 Comments »