近期,校内师生不断遭受勒索病毒侵害。为了提升广大师生的网络安全防护,现将相关知识普及如下:
1.什么是勒索病毒?
勒索病毒是黑客用来劫持用户资产或资源实施勒索的一种恶意程序。黑客利用勒索软件,通过加密用户数据、更改配置等方式,使用户资产或资源无法正常使用,并以此为条件要求用户支付费用以获得解密密码或者恢复系统正常运行。主要的勒索形式包括文件加密勒索、锁屏勒索、系统锁定勒索和数据泄漏勒索等。主要的传播方式包括钓鱼邮件传播、网页挂马传播、漏洞传播、远程登录入侵传播、供应链传播和移动介质传播等。
2.勒索病毒防范指南
(1)不要点击来源不明邮件。勒索软件攻击者常常利用受害者关注的热点问题发送钓鱼邮件,甚至还会利用攻陷的受害者单位组织或熟人邮箱发送钓鱼邮件,不要点击此类邮件正文中的链接或附件内容。如果收到了单位组织内或熟人的可疑邮件,可直接拨打电话向其核实。
(2)不要打开来源不可靠网站。不浏览色情、赌博等不良信息网站,此类网站经常被勒索软件攻击者发起挂马、钓鱼等攻击。
(3)不要安装来源不明软件。不要从不明网站下载安装软件,不要安装陌生人发送的软件,警惕勒索软件伪装为正常软件的更新升级。
(4)不要插拔来历不明的存储介质。不要随意将来历不明的U盘、移动硬盘、闪存卡等移动存储设备插入机器。
(5)定期备份重要数据和系统,采取隔离措施,严格限制对备份设备和备份数据的访问权限,防止勒索软件横移对备份数据进行加密。
(6)设置复杂密码并保密。使用高强度且无规律的登录密码,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并经常更换密码;对于同一局域网内的设备杜绝使用同一密码,杜绝密码与设备信息(例如IP、设备名)具有强关联性。
(7)定期安全风险评估,及时修复系统存在的安全漏洞。
(8)常杀毒、关端口。安装杀毒软件并定期更新病毒库,定期全盘杀毒;关闭不必要的服务和端口,包括不必要的远程访问服务(3389端口、22端口),以及不必要的135、139、445等局域网共享端口等。
(9)做好身份验证和权限管理,防止勒索软件非法获取和使用访问凭证,建议使用双因子身份认证,尽量使用标准用户而非管理员权限用户。
(10)严格访问控制策略。加强网络隔离,禁止或限制网络内机器之间不必要的访问通道;严格远程访问管理,限制对重要数据或系统的访问,如无必要关闭所有远程管理端口,若必须开放远程管理端口,使用白名单策略结合防火墙、身份验证、行为审计等访问控制技术细化访问授权范围,定期梳理访问控制策略。
(11)提高安全意识,及时了解相关网络安全防范知识。
3.勒索病毒应急处置方法
当机器感染勒索病毒后,不要惊慌,可立即开展以下应急工作,降低勒索病毒产生的危害。
(1)隔离网络。采用拔掉网线或者禁用网络等方式切断受感染机器的网络连接,避免网络内其他机器被进一步感染渗透。
(2)分类处置。当发现机器上重要文件尚未被加密时,应立即终止勒索软件进程或者关闭机器,及时止损;当发现机器上重要文件已被全部加密时,可保持机器开机原状态,等待专业处置。
(3)及时报告。及时报告单位网络安全管理员,通知其他可能会受到勒索软件影响的人员。造成重大影响时,及时向网络安全主管部门报告。
(4)排查加固。立即视情况切断网络内机器间不必要的网络连接,修改网络内机器的弱口令密码。全面排查勒索软件植入途径,并及时堵塞漏洞。尽快对网络内机器进行全面漏洞扫描与安全加固。
(5)专业恢复。请专业公司和人员进行数据和系统恢复工作。
学校网络安全联系电话:028-86291872
信息与教育技术中心
2022年3月10日