各二级单位、职能部门:
近日收到省网信办通知,省内已有用户遭Globelmposter3.0勒索病毒攻击,受感染电脑系统中的文件被加密,并且被加密的文件暂无解密工具。上述病毒对业务系统危害较大,现将相关情况预警通报如下:
一、Globelmposter3.0勒索病毒介绍
Globelmposter3.0勒索病毒可通过社会工程、RDP爆破、恶意程序捆绑等方式进行传播。该病毒主要利用远程桌面服务(3389端口)对Windows服务器实施网络攻击;使用自带密码本破解服务器远程桌面服务(3389端口) 口令,破解成功后病毒程序会以加密本地文档的方式实施勒索活动,并以该主机为跳板感染内网其它服务器。由于加密方式采用了RSA-2048等高强度加密算法,目前被该病毒加密后的文件暂无解密工具,文件被加密后会被加上.*4444系列后缀。
二、加固措施建议
1、隔离感染主机
迅速隔离中毒主机,可禁用网卡或直接拔掉网线。
2、切断传播途径
不要点击来源不明的邮件以及附件;关闭服务器和个人电脑的3389、445、139、135等端口;提高用户密码的复杂度。
3、数据备份
对于重要的数据文件,要定期进行非本地备份。
三、工作要求
请各单位系统管理员务必高度重视,针对业务系统中远程桌面服务的使用情况和上述勒索病毒的感染情况以适当方式开展摸底排查,尽量避免远程桌面服务暴露在互联网上,同时要确保远程桌面类服务避免使用弱口令。现代教育技术中心将在后续的安全巡检中对上述端口及漏洞进行重点筛查。
现代教育技术中心
信息化工作办公室
2019年3月14日