各位老师：

近日，互联网上出现一种Sigrun勒索病毒，其通过垃圾邮件、网站捆绑软件等方式进行传播。该病毒一旦植入到服务器或个人电脑，将把系统文件加密为.sigrun的文件，进而向受害者勒索虚拟货币。该新型Sigrun勒索病毒采用RSA1024加密算法，目前无法解密。

为保证校区个人电脑及服务器的正常使用和数据安全，请各位老师根据涉及威胁自身业务情况，采取防护措施。

Sigrun勒索病毒概述

（一）漏洞级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急。）

（二）影响范围

开启了445端口SMB网络共享协议，开启局域网共享文件功能，开启RDP 3389端口且存在弱口令安全隐患的Windows系统（包括个人版和服务器版）。

（三）排查和处置

排查方法：

1.检查系统是否打上了最近系统漏洞补丁包；

2.检查系统是否开启了445端口的SMB网络共享协议，或者不必要的共享端口；

3.检查系统是否存在.sigrun后缀文件。

处置方案：

1.隔离感染主机：已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡；

2.切断传播途径：关闭SMB 445等网络共享端口，关闭异常的外联访问，网络共享端口关闭参考《网络共享端口关闭操作流程》；

3.查找攻击源：手工抓包分析或借助态势感知类产品分析。

（四）安全建议

1.不从不明网站下载相关的软件，不要点击来源不明的邮件以及附件；

2.及时给电脑打补丁，修复漏洞；

3.对重要的数据文件定期进行非本地备份；

4.安装专业的第三方反病毒软件进行查杀；

5.关闭不必要的文件共享权限以及关闭不必要的端口，如：445、135、139、3389等。

注意：采取加固前请将资料备份，并进行充分测试。

信息与科技管理部

2018年5月29日