1. 好花红首页
  2. 惠水

惠水县3月关于勒索病毒GLOBEIMPOSTER 3.0的通报预警

关于勒索病毒GLOBEIMPOSTER 3.0的通报预警

目 录

一、背景依据………………………………………………………………………. 2

二、重点关注………………………………………………………………………. 2

三、紧急处置方案………………………………………………………………. 3

四、后续跟进方案………………………………………………………………. 4

五、服务器与终端防护……………………………………………………….. 4

六、网络防护与安全监测…………………………………………………… 4

七、应用系统防护及数据备份……………………………………………. 5

一、背景依据

近日,GlobeImposter勒索病毒3.0变种再次席卷全国各地医院,受影响的系统数据库文件被加密破坏,病毒将加密后的文件后缀改以*4444结尾,并要求用户通过邮件沟通赎金跟解密密钥等。目前GlobeImposter 3.0已在多个省份形成规模爆发趋势,贵阳宏图科技有限公司再次发布紧急预警,警惕GlobeImposter 勒索,同时将配合黔南州公安局对其重要系统、网站开展系统安全自查,做好信息系统安全监测,加固系统安全,及时处置隐患,提高防御攻击的能力,并做好网络安全事件应急响应及处置等准备工作。

二、重点关注

据悉此次攻击所用的病毒为GlobeImposter3.0,于2018年8月被首次发现,其攻击手法及其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,并在进入内网后会运用多种方法获取登录凭据,并在内网横向传播,其加密的后缀名也在不断的变化,最新的GlobeImposter3.0变种后缀为:

.Ox4444、.China4444、.Help4444、.Rat4444 、.Tiger4444 、.Rabbit4444 、.Dragon4444 、.Snake4444 、.Horse4444、.Goat4444 、.Monkey4444 、.Rooster4444、.Dog4444等。

GlobeImposter3.0采用RSA+AES算法进行标准加密,在没有私钥的情况下很难进行破解,文件被加密后会被加上*4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式:

惠水县3月关于勒索病毒GLOBEIMPOSTER 3.0的通报预警

所以存在以下问题的单位需要引起重点关注:

1.存在弱口令且Windows远程桌面服务(3389端口)暴露在公网上的。

2.内网Windows终端、服务器使用相同或者少数几组口令。

3.Windows服务器、终端未部署或未及时更新安全加固和杀毒软件。

三、紧急处置方案

1.对于感染的服务器下线隔离。

2.对于未感染的服务器:

1)在网络边界防火墙上关闭3389端口或3389端口只对特定IP开放。

2)开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。

3)每台服务器设置唯一口令,且复杂程度要求采用大小写字母、数字、特殊符号混合的组合结构,口令长度足够长(15位、两种组合以上)。

四、后续跟进方案

1.对于已下线隔离中的感染服务器,联系专业技术服务机构进行日志及样本分析。

2.使用网络安全模式下载病毒专杀软件删除该病毒。

3.利用计算机系统还原功能,还原系统到前一个安全点,再利用病毒专杀软件进行查杀,删除剩余的该病毒的病毒文件(仅用于设置了还原点的系统,如未设置还原点建议重装纯净系统)。

五、服务器与终端防护

1.所有服务器、终端应强行实施复杂密码策略,杜绝弱口令。

2.杜绝使用通用密码管理所有机器。

3.安装杀毒软件、终端安全管理软件并及时更新病毒库。

4.及时安装漏洞补丁。

5.服务器开启关键日志收集功能,为安全事件的追踪溯源提供基础。

六、网络防护与安全监测

1.对内网安全域进行合理划分。各个安全域之间限制严格的 ACL,限制横向移动的范围。

2.重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御,严格限制重要区域的访问权限并关闭 telnet、snmp 等不必要、不安全的服务。

3.在网络内架设 IDS/IPS 设备,及时发现、阻断内网的横向移动行为。

4.在网络内架设全流量记录设备。

七、应用系统防护及数据备份

1.应用系统层面,需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控。

2.对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性。

3.建立安全灾备预案,一但核心系统遭受攻击,需要确保备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,避免主系统和备份系统同时被攻击,影响业务连续性。

黔南州网络与信息安全信息通报中心

驻惠水县工作站

2019年3月12日

原创文章,作者:好花红,如若转载,请注明出处:http://www.haohuahong.net/huishui/392.html

联系我们

18385588977

在线咨询:点击这里给我发消息

邮件:1282880555@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息