关于防范GlobeImposter3.0勒索病毒攻击的紧急通报
发布时间:
2019-03-13
文章来源:
作者
发布人:
wlaq
浏览次数:

发布时间:2019-03-13文章来源:网络与信息中心作者: 发布人:wlaq 浏览次数:1155

  据相关部门通报,近日国内多家单位遭受GlobeImposter3.0勒索病毒攻击,导致相关业务文件被加密,对业务的连续性造成严重影响。通过对本次勒索攻击事件的分析,发现病毒程序通过破解服务器远程桌面端口服务口令后进行渗透,并释放勒索恶意代码,具有极强的破坏性及针对性。


一、漏洞情况分析

Globelmposter3.0勒索病毒程序用自带的密码本破解服务器远程桌面3389端口服务的口令,破解后实现自动登录并把病毒体拷贝到服务器上运行,运行后先将本地文档加密勒索,后把本机作为跳板,扫描内网开放的3389服务,继续感染内网服务器。


二、漏洞危害

Globelmposter 3.0勒索样本加密的文件暂无解密工具。被不法分子用于勒索活动。


三、应对措施

(一)隔离感染主机

 迅速隔离中毒主机,关闭所有网络连接并禁用网卡,紧急情况下可直接拔网线断网。

(二)切断传播途径

 1.Globelmposter勒索病毒之前的变种会利用远程桌面协议,如果业务上无需使用远程桌面协议,建议将其关闭。当出现此类事件时,使用防火墙等安全保护技术措施对3389等端口进行封堵,防止病毒扩散。

 2.通过防火墙等设备建立访问控制策略,封堵的3389、445等端口,防止来自外部的攻击。

(三)开展安全加固

 1.服务器、终端防护,所有服务器、终端应强行实施复杂密码策略,杜绝弱口令;禁止使用通用密码管理所有设备;安装杀毒软件、终端安全管理软件并及时更新病毒库;及时安装漏洞补丁;服务器开启关键日志收集功能,为安全事件的追踪溯源提供基础。

 2.对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控;对业务系统及数据及时进行备份,并验证备份系统及备份数据的可用性;建立安全灾备预案,一但核心系统遭受攻击,需要确保备份业务系统可以立即启用.同时,做好备份系统与主系统的安全隔离工作,避免主系统和备份系统同时被攻击,影响业务连续性。


Copyright 2013 中国海洋大学网络与信息中心
电话:0532-66782160
邮箱:wlzx@ouc.edu.cn
地址:青岛市松岭路238号,中国海洋大学 图书馆B楼
邮编:266000