安全紧急预警-防范新型 Sigrun 勒索病毒

近日，互联网上出现一种 Sigrun 勒索病毒，其通过垃 圾邮件、网站捆绑软件等方式进行传播。该病毒一旦植入到 用户的服务器，将把系统文件加密为.sigrun 的文件，进而 向受害者勒索虚拟货币。该新型 Sigrun 勒索病毒采用 RSA1024 加密算法，目前无法解密。
请各部门注意防范，不点击来源不明的邮件以及附件，并对本地文件进行非本地备份。

病毒介绍
Sigrun 勒索病毒为一个新型的勒索病毒家族，时间戳为:2018 年 5 月 18 日。经第三方机构分析，该勒索软件首 先对操作系统的输入法进行识别，对俄罗斯输入法的操作系统将不进行加密攻击，如果是其他输入法的操作系统，则进行文件加密并实施勒索。

影响范围
开启了445 端口SMB 网络共享协议，开启局域网共享文 件功能，开启 RDP 3389 端口且存在弱口令安全隐患的 Windows 系统(包括个人版和服务器版)。

排查方案
1.检查系统是否打上了最近系统漏洞补丁包;
2.检查系统是否开启了445 端口的 SMB 网络共享协议，或者不必要的共享端口;
3.检查系统是否存在.sigrun 后缀文件。

处置方案
1.隔离感染主机:已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡;
2.切断传播途径:关闭SMB 445 等网络共享端口，关闭异常的外联访问;
3.查找攻击源:手工抓包分析或借助态势感知类产品分析;
4. 查杀病毒:可使用以下工具进行查杀(http://edr.sangfor.com.cn/tool/SfabAntiBot.zip);
5.不要点击来源不明的邮件，不从不明网站下载相关的软件;及时对电脑主机进行补丁升级，修复漏洞;对重要的数据文件定期进行非本地备份;安装专业的终端或服务器安全防护软件;
6.修改密码:主机账号密码重置为高强度的密码。

应急处置建议
同时开展以下紧急处置:
一是立即断开被入侵的主机系统的网络连接，防止进一步危害;
二是留存相关日志信息;
三是通过“解决方案”加固系统并通过检查确认无相关漏洞后再恢复网络连接。