一、概要

近日，互联网上出现一种Sigrun勒索病毒，其通过垃圾邮件、网站捆绑软件等方式进行传播。该病毒一旦植入到用户的服务器，将把系统文件加密为.sigrun的文件，进而向受害者勒索虚拟货币。该新型Sigrun勒索病毒采用RSA1024加密算法，目前无法解密。

请涉及威胁的部门根据自身业务情况，采取防护措施。

二、漏洞级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急。）

三、影响范围

开启了445端口SMB网络共享协议，开启局域网共享文件功能，开启RDP 3389端口且存在弱口令安全隐患的Windows系统（包括个人版和服务器版）。

四、排查和处置

排查方法：

1.检查系统是否打上了最近系统漏洞补丁包；

2.检查系统是否开启了445端口的SMB网络共享协议，或者不必要的共享端口；

3.检查系统是否存在.sigrun后缀文件。

处置方案：

1.隔离感染主机：已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡；

2.切断传播途径：关闭SMB 445等网络共享端口，关闭异常的外联访问；

3.查找攻击源：手工抓包分析或借助态势感知类产品分析。

五、安全建议

1.不从不明网站下载相关的软件，不要点击来源不明的邮件以及附件

2.及时给电脑打补丁，修复漏洞

3.对重要的数据文件定期进行非本地备份

4.安装专业的第三方反病毒软件进行查杀

5.关闭不必要的文件共享权限以及关闭不必要的端口，如：445、135、139、3389等

注意：采取加固前请将资料备份，并进行充分测试。