[預警] .crypt_sherhagdomski@godzym_bid後綴勒索病毒

自2019年2月以來，安全團隊（微信公衆號：網安衆安）發現愈發增多的 .crypt_sherhagdomski@godzym_bid 後綴勒索病毒受害者。

被感染文件：

勒索文件：

目前這種病毒已經呈蔓延趨勢，希望廣大管理員用戶加以防範。

受此病毒影響的系統，數據庫文件及其他普通文檔文件都會被加密，且擴展名變成 crypt_sherhagdomski@godzym_bid ，勒索信息文件：how_to_back_files.html ，勒索郵箱：[email protected] 。目前國內多家公司服務器已中招，並且有愈演愈烈的趨勢，望廣大用戶做好安全防護，警惕sherhagdomski病毒勒索。

威脅級別
威脅級別：【嚴重】（說明：威脅級別共四級：一般、重要、嚴重、緊急）

影響範圍
未及時更新系統補丁或未採取終端安全防護措施的Windows系統（包括個人版和服務器版）。

排查和處置
1、檢查系統是否安裝了最近系統漏洞補丁包；
2、檢查系統是否開啓了3389端口的RDP網絡共享協議，查看日誌是否有暴力破解日誌；
3、檢查系統是否開啓了445端口的SMB網絡共享協議或者不必要的系統服務端口；
4、檢查系統是否存在隨即後綴名加密文件；
5、檢查桌面是否存在來歷不明的圖片。

處置方案
1、隔離感染主機：已中毒計算機儘快隔離，關閉所有網絡連接，禁用網卡;
2、切斷傳播途徑：關閉潛在終端的SMB 445等網絡共享端口，關閉異常的外聯訪問；
3、查找***源：手工抓包分析或藉助態勢感知類產品分析，確認全網感染數量；
4、查殺病毒；
5、設置複雜密碼：如果主機賬號使用簡單密碼，建議重置爲高強度的密碼。

安全建議
1、不從不明網站下載相關的軟件，不要點擊來源不明的郵件以及附件；
2、及時給電腦打補丁，修復漏洞；
3、修改密碼：設置主機賬號密碼爲高強度的密碼；
4、對重要的數據文件定期進行非本地備份；
5、關閉或通過安全組限制不必要的文件共享權限以及端口，如：445、3389等。