自2022年08月28日起，美創(chuàng)科技應(yīng)急中心接到大量客戶反饋，客戶計(jì)算機(jī)文件被.locked后綴的勒索病毒加密，主要影響某廠商企業(yè)財(cái)務(wù)軟件所在的服務(wù)器。疑似該廠商企業(yè)財(cái)務(wù)軟件存在0day漏洞被攻擊者進(jìn)行批量利用。美創(chuàng)科技應(yīng)急中心建議廣大用戶做好資產(chǎn)自查以及勒索病毒預(yù)防工作，以免遭受黑客攻擊。

在被.locked勒索病毒加密后，會(huì)在目錄中放置read_me.html文件，并將加密的文件添加.locked后綴。

其中read_me.html文件會(huì)提供攻擊者的聯(lián)系方式以及比特幣賬號(hào)用于接收贖金。

面對(duì)嚴(yán)峻的勒索病毒威脅態(tài)勢(shì)，美創(chuàng)科技應(yīng)急中心提醒廣大用戶注意以下日常防范措施，防患于未然，把危險(xiǎn)扼殺在源頭：

①　及時(shí)給辦公終端和服務(wù)器打補(bǔ)丁，修復(fù)漏洞，包括操作系統(tǒng)以及第三方應(yīng)用的補(bǔ)丁，防止攻擊者通過(guò)漏洞入侵系統(tǒng)。

②　盡量關(guān)閉不必要的端口，如139、445、3389等端口。如果不使用，可直接關(guān)閉高危端口，降低被漏洞攻擊的風(fēng)險(xiǎn)。

③　不對(duì)外提供服務(wù)的設(shè)備不要暴露于公網(wǎng)之上，對(duì)外提供服務(wù)的系統(tǒng)，應(yīng)保持較低權(quán)限。

④　企業(yè)用戶應(yīng)采用高強(qiáng)度且無(wú)規(guī)律的密碼來(lái)登錄辦公系統(tǒng)或服務(wù)器，要求包括數(shù)字、大小寫(xiě)字母、符號(hào)，且長(zhǎng)度至少為8位的密碼，并定期更換口令。

⑤　數(shù)據(jù)備份保護(hù)，對(duì)關(guān)鍵數(shù)據(jù)和業(yè)務(wù)系統(tǒng)做備份，如離線備份，異地備份，云備份等， 避免因?yàn)閿?shù)據(jù)丟失、被加密等造成業(yè)務(wù)停擺，甚至被迫向攻擊者妥協(xié)。

⑥　敏感數(shù)據(jù)隔離，對(duì)敏感業(yè)務(wù)及其相關(guān)數(shù)據(jù)做好網(wǎng)絡(luò)隔離。避免雙重勒索病毒在入侵后輕易竊取到敏感數(shù)據(jù)，對(duì)公司業(yè)務(wù)和機(jī)密信息造成重大威脅。

⑦　盡量關(guān)閉不必要的文件共享。

⑧　提高安全運(yùn)維人員職業(yè)素養(yǎng)，定期進(jìn)行木馬病毒查殺。

⑨　部署美創(chuàng)數(shù)據(jù)庫(kù)防火墻，可專門(mén)針對(duì)RushQL數(shù)據(jù)庫(kù)勒索病毒進(jìn)行防護(hù)。

⑩　安裝諾亞防勒索軟件，防御未知勒索病毒。