緊急預警�����!針對發(fā)生GlobeImposter病毒勒索事件及防御方法
日期:2018-08-24 17:49:45
投稿人:比特豹
8月21日起�����,多地發(fā)生GlobeImposter病毒勒索事件���,當然廣州也不例外��,本次事件是主要針對某些行業(yè)和機構�����,通過RDP遠程桌面進行入侵的勒索病毒。這種病毒會利用密碼抓取工具獲取管理員密碼后對內(nèi)網(wǎng)服務器發(fā)起掃描并人工投放勒索病毒�����,導致文件被加密,以此來勒索用戶繳納贖金�����。GlobeImposter病毒感染用戶數(shù)量多����,破壞性強����,風險等級被評為高��。
22日早上比特豹客戶服務專員突然收到某客戶通知�����,他們的個別服務器受到該病毒侵擾,比特豹信息安全服務團隊立即采取應急預案����,前往該客戶進行排查處理��。
比特豹首先對勒索病毒及其變種傳播及時告警�����,利用TDA設備對傳播類型���、傳播途徑、惡意代碼傳播�����、回連CC域名��、漏洞利用等行為進行深度解析�����,通過對該病毒動態(tài)行為分析���,捕捉其動態(tài)行為�����、網(wǎng)絡行為注冊行為等信息準確定位病毒源和感染主機����。
準確定位病毒源后采用專殺工具進行病毒清除并加固��,通過一天的緊羅密布�,最終順利完成病毒的清除,然后在其服務器安裝了亞信安全客戶端�����,加固安全防護���。在處理勒索病毒事件上,比特豹有著豐富的經(jīng)驗���,能夠快速定位病毒源,并及時阻止和清除�。這次的應急措施也充分體現(xiàn)我們的服務理念“我的一車一豹,隨叫隨到”���。
由于GlobelImposter病毒傳播的廣泛性和極強的破壞性,在面的此類問題時��,比特豹總結出了以下解決方案:
緊急處理方案
1.對于已感染該病毒的服務器:下線隔離。
2.對尚未感染該病毒的服務器:
1)在網(wǎng)絡邊界防火墻上全局關閉3389端口���,或3389端口只對特定IP開放。
2)開啟Windows防火墻,盡量關閉3389�����、445等不用的高危端口。
3)加強服務器口令設置�����,且復雜度要求采用大小寫字母、數(shù)字���、特殊符號混合的組合����,至少在15位以上�。
對于已經(jīng)下線隔離的服務器,要進行日志及樣本分析����。
1. 所有服務器��、終端應強行實施復雜密碼策略���,及時安裝漏洞補丁,及時更新病毒庫����。
2. 內(nèi)網(wǎng)安全區(qū)域之間限制嚴格的ACL,限制重要區(qū)域的訪問權限并關閉telnet等不必要的服務����,并在網(wǎng)絡內(nèi)架設IDS/IPS設備�����。
3. 要對業(yè)務數(shù)據(jù)進行備份��,建立安全容災預案�。
安全加固是一個動態(tài)過程��,在日常工作中����,要實時加強對網(wǎng)絡安全狀態(tài)的檢測,要常態(tài)化安全檢查和評估�����,及時發(fā)現(xiàn)安全隱患�����、補全漏洞�,確保信息安全運行。
