各位尊敬的客戶:
近期�,很多單位遭受到勒索病毒的攻擊,該勒索病毒會(huì)利用感染的服務(wù)器在網(wǎng)絡(luò)內(nèi)進(jìn)行自動(dòng)傳播,危害極大�,個(gè)別服務(wù)器已被加密勒索且無法恢復(fù)�。為保障客戶網(wǎng)絡(luò)安全,現(xiàn)提醒各位客戶做好如下工作:
一�����、病毒分析
根據(jù)樣本分析為GlobeImposter 勒索病毒�����,主要攻擊windows操作系統(tǒng)�����,主要是開啟遠(yuǎn)程桌面服務(wù)的服務(wù)器�,攻擊者通過暴力破解服務(wù)器密碼,對(duì)內(nèi)網(wǎng)服務(wù)器發(fā)起掃描并人工投放病毒加密文件進(jìn)行勒索�,多家單位被入侵,致使相關(guān)系統(tǒng)癱瘓�����,用戶無法正常辦理業(yè)務(wù)�。
攻擊方式:
1.GlobeImposter攻擊者大多利用弱口令漏洞、系統(tǒng)漏洞等方式獲得遠(yuǎn)程登錄用戶名和密碼�,之后通過 RDP(遠(yuǎn)程桌面協(xié)議)遠(yuǎn)程登錄目標(biāo)服務(wù)器并運(yùn)行勒索病毒程序��! 黑客” 一旦能夠成功登錄服務(wù)器,就可以在服務(wù)器上為所欲為�。即使服務(wù)器上安裝了安全軟件,也有可能會(huì)被黑客第一時(shí)間手動(dòng)退出�����,以便于后續(xù)投毒勒索�。
2.不排除數(shù)據(jù)庫漏洞、業(yè)務(wù)漏洞�����、U盤感染�、匿名郵件、不安全wifi等的可能性�。
二、針對(duì)該勒索病毒具體的防范建議
各單位要高度重視�����,認(rèn)真開展風(fēng)險(xiǎn)排查與漏洞修復(fù)�。
特別提醒:目前遭受勒索病毒加密的文件無法修復(fù)�,數(shù)據(jù)備份是行之有效的預(yù)防措施�����。(每天將數(shù)據(jù)庫做一個(gè)異地備份�����,或備份在移動(dòng)硬件上�����,備份完一定拔掉移動(dòng)硬盤)
1.檢查和關(guān)閉非必要的遠(yuǎn)程桌面服務(wù)�,因業(yè)務(wù)維護(hù)需要的遠(yuǎn)程桌面服務(wù)接收后應(yīng)該及時(shí)關(guān)閉相關(guān)服務(wù)
2.檢查服務(wù)器文件是否正常�,如服務(wù)器出現(xiàn)異常,聯(lián)系專業(yè)的安全團(tuán)隊(duì)處理�����。
3.避免將遠(yuǎn)程桌面服務(wù)( RDP�����,默認(rèn)端口為 3389)暴露在公網(wǎng)上�����,并關(guān)閉445、139�、 135 等不必要的端口。
4.將服務(wù)器密碼修改為高強(qiáng)度的復(fù)雜密碼�。
5.檢查服務(wù)器和數(shù)據(jù)庫漏洞。
6.使用針對(duì)性的防勒索軟件做全面的防勒索安全防護(hù)�����。
7.嚴(yán)格執(zhí)行內(nèi)外網(wǎng)隔離制度
三�、感染后的應(yīng)對(duì)措施
當(dāng)我們已經(jīng)確認(rèn)感染勒索病毒后,應(yīng)當(dāng)及時(shí)采取必要的自救措施�����。之所以要進(jìn)行自救�,主要是因?yàn)椋旱却龑I(yè)人員的救助往往需要一定的時(shí)間,采取必要的自救措施�,可以減少等待過程中,損失的進(jìn)一步擴(kuò)大�����。例如:與被感染主機(jī)相連的其他服務(wù)器也存在漏洞或是有缺陷�,將有可能也被感染�。所以�,采取自救措施的目的是為了及時(shí)止損�,將損失降到最低。
1.正確處置方法
1) 隔離中招主機(jī)
當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后�����,應(yīng)立即隔離被感染主機(jī)�����。
2) 排查業(yè)務(wù)系統(tǒng)
在已經(jīng)隔離被感染主機(jī)后�����,應(yīng)對(duì)局域網(wǎng)內(nèi)的其他機(jī)器進(jìn)行排查�����,檢查核心業(yè)務(wù)系統(tǒng)是否受到影響�����,生產(chǎn)線是否受到影響�,并檢查備份系統(tǒng)是否被加密等,以確定感染的范圍�。另外�,備份系統(tǒng)如果是安全的�,就可以避免支付贖金,順利的恢復(fù)文件�。所以,當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后�,并確認(rèn)已經(jīng)隔離被感染主機(jī)的情況下,應(yīng)立即對(duì)核心業(yè)務(wù)系統(tǒng)和備份系統(tǒng)進(jìn)行排查�����。
2.錯(cuò)誤的處置方法
1) 使用移動(dòng)存儲(chǔ)設(shè)備
當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后�,在中毒電腦上使用 U 盤、移動(dòng)硬盤等
移動(dòng)存儲(chǔ)設(shè)備�。當(dāng)電腦感染病毒時(shí),病毒也可能通過 U 盤等移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行傳播�。所以,當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后�����,切勿在中毒電腦上使用 U 盤�����、移動(dòng)硬盤等設(shè)備。
2) 讀寫中毒主機(jī)上的磁盤文件
當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后�����,反復(fù)讀取磁盤上的文件可能會(huì)而降低數(shù)據(jù)正確恢復(fù)的概率�����。
上海匯尼信息科技有限公司
2020.9.11
|
