近期GandCrab5.2版本勒索病毒在教育系统中出现，该病毒木马涉及到多个变种，传播途径多样包括WebLogic漏洞、CVE-2019-7238,NexusRepository Manager 3 远程代码执行漏洞、钓鱼邮件、网页挂马等。针对此类病毒应急处置方案建议如下：

【紧急处置】

1.控制已发现被攻陷主机，采取措施防止蔓延：下线已发现招攻陷主机，扫描暴露到公网的主机和端口、紧急关停。

2.摸清楚受害主机范围，对中招主机进行处置：通过天眼网络流量分析、天擎病毒扫描或漏洞扫描等方式，筛查出受害主机范围，对中招主机下线然后查杀，及时升级服务程序并安装相应补丁。

【未感染主机与加固】

1.在网络边界防火墙上全局关闭3389端口或只对特定IP开放。

2.开启Windows防火墙，尽量关闭3389、445、139、135等不用的端口。

3.避免使用弱口令，每台服务器设置唯一口令，且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构，口令位数足够长（15位、两种组合以上）。

4.在windows中禁用U盘的自动运行功能，不打开来历不明的邮件。

5.安装天擎防病毒（带防爆破功能）和服务器加固，及时更新病毒库。

6.如用户处存在虚拟化环境，建议用户安装360网神虚拟化安全管理系统，进一步提升防恶意软件、防暴力破解等安全防护能力。

7.升级邮件系统的防护策略，部署邮件安全检测防护系统，对勒索邮件、钓鱼邮件予以检测和拦截。

8.部署流量监控设备，开展全流量深度分析工作，以及时发现安全攻击事件，并可对攻击事件在流量中进行追踪溯源。