GlobeImposter3.0變種勒索病毒再次肆虐全國(guó)各醫(yī)院

就要買(mǎi)買(mǎi)買(mǎi)
GlobeImposter3.0勒索軟件是GlobeImposter的一個(gè)新的變種,該病毒雖然對(duì)具體行業(yè)并沒(méi)有針對(duì)性,但發(fā)現(xiàn)遭受攻擊的是醫(yī)院用戶(hù)。

病毒分析

GlobeImposter3.0勒索軟件是GlobeImposter的一個(gè)新的變種,該病毒雖然對(duì)具體行業(yè)并沒(méi)有針對(duì)性,但發(fā)現(xiàn)遭受攻擊的是醫(yī)院用戶(hù)。該勒索軟件利用暴力破解植入,主要針對(duì)開(kāi)啟Windows遠(yuǎn)程桌面的服務(wù)器。勒索軟件運(yùn)行后,會(huì)加密磁盤(pán)空間中除Windows目錄下和.****4444后綴外的所有可執(zhí)行文件、文本文件、圖片文件、文檔文件、數(shù)據(jù)庫(kù)文件、Windows快捷方式等,導(dǎo)致關(guān)鍵數(shù)據(jù)或程序無(wú)法訪問(wèn),從而導(dǎo)致業(yè)務(wù)系統(tǒng)癱瘓。

不良影響

該勒索軟件執(zhí)行后會(huì)對(duì)帶有如下類(lèi)型文件進(jìn)行加密,包含:音頻、視頻、數(shù)據(jù)庫(kù)、文本……加密后的文件名在原文件名稱(chēng)上增加.****4444后綴,如Rat4444、Tiger4444、Snake4444、Monkey4444、Dog4444等,因此也被稱(chēng)為“生肖”勒索軟件。

由于GlobeImposter使用RSA2048算法加密,當(dāng)前尚無(wú)有效的方案還原加密后的數(shù)據(jù)。

解決方案

對(duì)于感染主機(jī)直接拔除網(wǎng)線,斷開(kāi)網(wǎng)絡(luò)連接

由于采用非對(duì)稱(chēng)的加密算法,用戶(hù)遭受攻擊后,一般情況下,很難恢復(fù)數(shù)據(jù),但部分勒索軟件因軟件實(shí)現(xiàn)邏輯問(wèn)題,有一定還原機(jī)率。為了對(duì)抗勒索軟件,眾多殺軟公司聯(lián)合推出的解密工具:http://www.nomoreransom.org/,可以破解部分勒索軟件病毒家族,用戶(hù)可以進(jìn)行嘗試還原。

對(duì)于尚未遭受攻擊的用戶(hù),請(qǐng)使用如下建議進(jìn)行操作

勒索軟件采用弱口令爆破,利用3389端口遠(yuǎn)程登錄,植入病毒。

建議關(guān)閉主機(jī)RDP協(xié)議(會(huì)影響遠(yuǎn)程桌面功能)并在防火墻及交換機(jī)對(duì)445、3389、135、139等端口進(jìn)行封堵,防止擴(kuò)散。

不點(diǎn)擊來(lái)源不明的郵件以及附件,尤其是如下擴(kuò)展名的附件: .js,.vbs,.exe,.scr,.bat等,附件中可能包含密碼抓取工具或病毒。

安全加固防護(hù)

更改默認(rèn)Administrator管理帳戶(hù)密碼,禁用GUEST來(lái)賓帳戶(hù);

更改為復(fù)雜密碼,由字母大小寫(xiě),數(shù)字及特殊符號(hào)組合的密碼,不低于10位字符;不要使用電話號(hào)碼,工號(hào)等純數(shù)字作為賬號(hào)密碼。

設(shè)置帳戶(hù)鎖定策略,在輸入5次密碼錯(cuò)誤后禁止登錄;

及時(shí)更新Windows補(bǔ)丁 ,安裝殺毒軟件,設(shè)置退出或更改需要密碼,防止進(jìn)入關(guān)閉殺毒軟件;

定期進(jìn)行數(shù)據(jù)備份,如果是云服務(wù)器,一定要做好快照。

華為安全設(shè)備防護(hù)建議

對(duì)于已購(gòu)買(mǎi)USG系列下一代防火墻、FireHunter6000系列沙箱、IPS的用戶(hù),將檢測(cè)引擎和病毒庫(kù)更新至最新版本。部署華為USG防火墻及沙箱FireHunter6000組合可對(duì)勒索病毒進(jìn)行有效防護(hù):

部署防火墻,阻斷勒索病毒投遞前的偵測(cè)行為,如:爆破、漏洞利用;

部署支持“誘捕”特性的交換機(jī)和防火墻,誘導(dǎo)勒索病毒入侵仿真業(yè)務(wù)并捕獲其入侵行為,降低真實(shí)系統(tǒng)被攻擊的概率,最大限度減少損失;

部署沙箱設(shè)備,檢測(cè)郵件中的文件, 防火墻可將流量還原成文件,并將需要檢測(cè)的文件發(fā)送到沙箱進(jìn)行檢測(cè)。

注:Globelmposter3.0是勒索病毒變種,處置方法與勒索病毒可通用。

THEEND

最新評(píng)論(評(píng)論僅代表用戶(hù)觀點(diǎn))

更多
暫無(wú)評(píng)論