各有关单位:
接国家信息通报中心通报,2017年10月24日,一款名为“Bad Rabbit”的勒索软件在境外发动了大规模网络攻击,致使欧洲数国电脑系统遭冻结,并有进一步扩散的趋势。针对此次病毒的技术描述及防护建议如下:
一、技术描述:
该勒索病毒以“水坑攻击”的方式,通过虚假Flash更新链接传播。用户在更新Adobe Flash Player时,会被某些DNS解析器指向病毒链接,一旦用户更新,就会下载并执行带毒安装包。感染病毒后,用户电脑中的文件将被加密,无法正常使用。同时还会利用已感染计算机的用户名、密码通过WMI服务采用字典攻击方法尝试登陆内网其他终端进行传播。
二、防护建议:
1、安装并升级防病毒软件
目前,中国石化统一部署的360天擎已经可以查杀该病毒,请务必确保所有终端已安装360天擎防病毒软件且病毒库更新至2017-10-25版本。
2、阻断病毒传播地址
在因特网出口网络安全设备上阻断http://1dnscontrol.com/flash_install。php的访问(添加阻断策略时请将。替换为.)
3、关闭非必要的高危端口及服务
由于此次病毒会利用已感染计算机的用户名、密码通过WMI服务尝试登陆内网其他计算机进行传播,如非必须使用,应在防火墙上关闭TCP 135/139/445端口并在计算机上停用WMI (Windows Management Instrumentation) 服务,抑制病毒传播行为。
4、加强密码强度
告知所有用户、管理员加强操作系统密码强度,避免出现“空密码”及“弱密码”,杜绝多台计算机使用相同密码的情况。
请各单位务必高度重视病毒防范处置工作,停用非必要系统服务、采取有效访问控制措施、及时对重要数据进行备份,确保中国石化各应用系统、网络安全运行。
请各单位发现攻击情况后及时向信息化管理中心报告,联系人:
董京彬 873444 dongjingbin.slyt@sinopec.com
桂 炜 8714453 guiwei.slyt@sinopec.com