紧急漏洞预警-Globelmposter3.0变种 | 【韩涛博客】

紧急漏洞预警-Globelmposter3.0变种

据国家网络与信息安全信息通报中心监测发现,近期个别省份的医疗卫生系统遭GlobeImposter勒索病毒攻击。经分析研判,此次勒索病毒主要利用3389端口对Windows服务器实施网络攻击。该病毒利用自带密码本破解服务器远程桌面服务(3389端口)口令,破解后病毒程序对本地文档实施加密开展勒索活动,并以该主机为跳板感染内网其他服务器。

病毒名称

Globelmposter3.0 变种

影响范围

多省份出现医院大规模爆发,有全国爆发趋势

病毒说明

Globelmposter? 3.0勒索变种的安全威胁热度一直居高不下。早在2018年8月份,深信服已经追踪到该变种并率先在国内发布预警。Globelmposter? 3.0勒索病毒攻击,攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名以*4444结尾,文件被加密后会被加上以下后缀:

点击查看完整内容

由于Globelmposter 3.0采用RSA2048算法加密,目前该勒索样本加密的文件暂无解密工具,文件被加密后会被加上*4444系列后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。

紧急漏洞预警-Globelmposter3.0变种

解决方案

1、隔离感染主机

迅速隔离中毒主机,关闭所有网络连接,禁用网卡,可直接拔网线断网。

2、切断传播途径

a.Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议),如果业务上无需使用RDP的,建议关闭RDP。

b.在卫计委专网级联边界位置通过防火墙等设备建立访问控制策略,封堵入站的3389、445等端口,防止其他单位的横向、纵向攻击。

3、安全加固

a.如果要使用SMB服务器尽量设置较为复杂的密码,建议密码设置为字符串+特殊字符+数字,并且不要对公网开放,建议使用vpn。

b.及时给电脑打补丁,修复漏洞。

4、数据备份

对重要的数据文件定期进行非本地备份。

广告

发表评论 取消回复
表情 图片 链接 代码

分享
×
订阅图标按钮