一、概要

近期，業(yè)界發(fā)現(xiàn)一種新型SamSam勒索病毒，國外和國內(nèi)均已發(fā)生中毒事件。該病毒利用弱口令爆破方式向其他主機(jī)進(jìn)行傳播，加密后的文件后綴為：weapologize。由于該病毒采用RSA2048加密算法，文件被加密后暫時(shí)無法恢復(fù)。

請涉及威脅的租戶根據(jù)自身業(yè)務(wù)情況，采取防護(hù)措施。

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

開啟了445端口SMB網(wǎng)絡(luò)共享協(xié)議、開啟RDP 3389端口且存在弱口令的Windows系統(tǒng)（包括個(gè)人版和服務(wù)器版）。

四、排查和處置方法

排查方法：

1. 檢查系統(tǒng)是否安裝了最近系統(tǒng)漏洞補(bǔ)丁包；

2. 檢查系統(tǒng)是否開啟了445端口的SMB網(wǎng)絡(luò)共享協(xié)議，或者不必要的共享端口；

3. 檢查系統(tǒng)是否開啟了3389端口的RDP網(wǎng)絡(luò)共享協(xié)議且使用了弱口令；

4. 檢查系統(tǒng)是否存在weapologize后綴文件；

5. 檢查網(wǎng)站和服務(wù)器是否存在系統(tǒng)漏洞，是否更新補(bǔ)丁。

處置方案：

1. 隔離感染主機(jī)：已中毒計(jì)算機(jī)盡快隔離，關(guān)閉所有網(wǎng)絡(luò)連接，禁用網(wǎng)卡;

2. 切斷傳播途徑：關(guān)閉潛在終端的SMB 445、135、139、3389等網(wǎng)絡(luò)端口，關(guān)閉異常的外聯(lián)訪問；

3. 使用復(fù)雜密碼：RDP遠(yuǎn)程服務(wù)器等連接盡量使用復(fù)雜密碼，不要使用簡單密碼；

4. 查找攻擊源：手工抓包分析或借助態(tài)勢感知類產(chǎn)品分析；

5. 查殺病毒：該勒索病毒會通過PSEXEC.EXE工具感染其它主機(jī)，建議卸載或禁用PSEXEC.EXE工具。也可使用防病毒工具進(jìn)行查殺（推薦使用華為云市場軟件）。

五、安全建議

1. 不從不明網(wǎng)站下載相關(guān)的軟件，不要點(diǎn)擊來源不明的郵件以及附件；

2. 及時(shí)給電腦打補(bǔ)丁，修復(fù)漏洞；

3. 修改密碼：設(shè)置主機(jī)賬號密碼為高強(qiáng)度的密碼；

4. 對重要的數(shù)據(jù)文件定期進(jìn)行非本地備份；

5. 安裝專業(yè)的第三方反病毒軟件（推薦使用華為云市場軟件）；

6. 關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口，如：445、135、139、3389等。

注意：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。