各二级院(部)、处(室、中心、馆):

  近期,勒索病毒攻击形势严峻,呈高发趋势。为确保我校网络安全稳定,特将勒索病毒攻击方式、攻击特点进行预警通报,并提出应对建议。

  一、安全威胁情况
  根据案例分析,黑客会尝试从系统维护人员处窃取目标网络跳板机控制权限,在系统维护机上传远控木马以窃取跳板机账号口令。系统运维人员通过该跳板机登陆内网服务器时,常将登陆凭据在远程桌面连接程序中保存,导致黑客入侵跳板机后可使用远程桌面直接登陆内网中的服务器,且本地设备和资源中默认将分区进行远程映射,致使目标服务器上勒索病毒运行以后,跳板机上的硬盘文件也被勒索病毒破坏。

   二、应对意见建议
  勒索病毒攻击者为确保自身安全,越来越重视对攻击痕迹的清理,很多勒索病毒带有自删除、日志清理功能,更增加了应急处置及溯源难度。对防护单位来说,应该更为重视如下内容:
  (1)遭受勒索病毒攻击后,要即刻断网,但不要关闭计算机。
  (2)遭受勒索病毒攻击后,即使加密文件暂时无法解密,也要追查渗透渠道,同时检查是否有其他主机遭受潜在威胁,避免遭受进一步攻击。
  (3)要加强日常安全防护和巡检。应加强跳板机安全管理,尽量减少远程维护情况,通过防火墙设置跳板机安全管理策略;注意加强系统口令;注意管理工具安全使用方法,不随意保存口令、登陆凭证;加强重要数据备份;加强定期安全巡检,及时发现清理安全事件。
  (4)更加严格遵守其他安全防护要求,加强数据备份与日志留存。

   三、工作要求
  请各单位及时进行风险预警,开展网络安全隐患排查,完善安全事件应急处置预案,加强安全监测和值班值守,发现网络遭攻击后及时处置并向信息中心报告。

信息中心
2019年1月23日
操作系统安全基线配置.zip