一、概要

近日，互聯(lián)網上出現(xiàn)新型變種勒索病毒（FilesLocker）。FilesLocker是一款代理型勒索軟件，已經從FilesLocker 1.0、FilesLocker 2.0升級到最新的FilesLocker 2.1圣誕版，通過中間代理人向外傳播。設備感染該病毒后，系統(tǒng)文件會被加密，電腦桌面壁紙將被更換為圣誕節(jié)日相關圖片，目前尚未公布秘鑰，暫時無法解密恢復。

請各位租戶注意防范。

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急。）

三、影響范圍

開啟了445端口SMB網絡共享協(xié)議，且未升級漏洞補丁的Windows系統(tǒng)（包括個人版和服務器版）。

四、排查和處置方法

排查方法：

1. 檢查系統(tǒng)是否安裝了MS17-010漏洞補丁包；

2. 檢查系統(tǒng)是否開啟了445端口的SMB網絡共享協(xié)議；

3. 檢查系統(tǒng)桌面是否被更改為圣誕相關圖片；

4. 檢查系統(tǒng)是否升級其他漏洞補丁

處置方案：

1. 隔離感染主機：已中毒計算機盡快隔離，關閉所有網絡連接，禁用網卡;

2. 切斷傳播途徑：關閉潛在終端的SMB 445等網絡共享端口，關閉異常的外聯(lián)訪問；

3. 查找攻擊源：手工抓包分析或借助態(tài)勢感知類產品分析，確認全網感染數量；

4. 查殺病毒：可使用以下工具進行查殺（http://edr.sangfor.com.cn/tool/SfabAntiBot.zip）

5. 修補漏洞：安裝“永恒之藍”漏洞補丁。請到微軟官網，下載對應的漏洞補丁（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）

6. 設置復雜密碼：如果主機賬號使用簡單密碼，建議重置為高強度的密碼。

7. 感染FilesLocker1.0和FilesLocker2.0版本病毒的主機，可以嘗試利用以下工具解密：（http://edr.sangfor.com.cn/tool/FilesLockerDecrypter.zip）。

五、安全建議

1. 不從不明網站下載相關的軟件，不要點擊來源不明的郵件以及附件；

2. 及時給電腦打補丁，修復漏洞；

3. 修改密碼：設置主機賬號密碼為高強度的密碼；

4. 對重要的數據文件定期進行非本地備份；

5. 安裝專業(yè)的第三方反病毒軟件（推薦使用華為云市場軟件）；

6. 關閉或通過安全組限制不必要的文件共享權限以及端口，如：445、3389等。

注意：修復漏洞前請將資料備份，并進行充分測試。