首页安全服务安全公告
正文

【预警】Globelmposter 3.0勒索病毒变种攻击持续高发,海峡信息教您如何应对

发布时间:2019-03-12 16:03   浏览次数:82


       Globelmposter 3.0勒索病毒近日在政府、医疗、教育等行业大范围的传播,其可通过RDP(远程桌面服务)口令暴力破解,SMB共享、钓鱼邮件、破解程序捆绑等方式扩散。此病毒会先尝试关闭杀毒软件,再感染系统,然后以源头计算机为跳板,通过抓取操作系统的口令,利用RDP或SMB服务,横向感染局域网。对于未进行全面安全建设的系统具有极大破坏性,应引起足够重视。


        Globelmposter 3.0病毒,采用RSA加密算法,锁定系统上的重要文件,其加密后文件后缀有:.*4444、.*TRUE、*.ALC0*、RESERVE、*.SEXY、*.DOC等,且被加密系统的每个文件夹中都会存在勒索通知信息文件:how_to_back_files.html。目前,Globelmposter 3.0勒索病毒没有公开的解密工具。


【应急处置】

1.  立即隔离已被感染的计算机;

2. 在互联网边界或局域网边界处,暂时关闭3389(RDP)端口和445(SMB)端口连接,或仅对业务IP开放必要的连接端口;

使用黑盾防火墙的用户,应该检查各网络边界、骨干节点的防火墙安全配置策略,根据业务情况设置访问控制策略,阻断勒索病毒常用传播端口(包括3389、445、135-139等),排查不必要的数据库开放端口[如1433(SQLServer)、3306(MySQL)、1521(Oracle)等]。

3. 被锁定文件的计算机,建议备份需要的数据文件,并重装操作系统;

4. 其他已隔离未锁定文件的计算机应进行全盘查杀。


【防护方案】

1.提升人员安全意识

1)  网页、陌生邮件、互联网通信工具中不明链接或附件,不轻易点击或下载;

2)  从官网下载正版、开源可信的程序及文件,不使用破解、盗版、游戏外挂等来路不明的程序;

3)  为计算机安装杀毒软件,定期更新病毒库;

4)  运行程序前应经过病毒查杀且在测试环境先进行测试。


2.加强互联网边界访问控制

1)  不对互联网开放RDP远程桌面及SMB协议,应使用VPN接入+堡垒机运维的登录方式;

2)  及时检查各自门户网站、APP系统等信息系统的安全状态,及时修复安全漏洞;

3)  严格控制对互联网提供应用的服务器其访问内网的权限,禁止其访问内网的RDP和SMB服务。

4)  加强安全域之间的安全防护与安全策略细粒度,如在网络层控制3389、445等危险端口的访问,仅对堡垒机开放3389端口以及对业务IP开放445端口。

5)  通过APT、IDS、IPS等安全设备,实时监控并及时告警正在发生的3389、445等端口大流量攻击行为;


3、加强操作系统安全防范

1)  在操作系统上使用IPsec脚本禁用3389和445端口,或仅对业务IP开放必要的端口;

1.png

2)  为每台计算机登录账号设置独立的强口令(口令长度8位以上,口令由数字、大小字母、特殊符号字符组成);

3) 及时更新系统安全补丁,确保每台计算机的MS17-010等高危漏洞的补丁已修复。(不能修复安全补丁的,在业务允许的情况下,用IPsec策略来禁用445等共享端口);

黑盾云平台补丁下载地址: http://www.heiduncloud.cn/pub_article/articles.html?id=402&arctype_id=13&topics_id=4 

2.png

4)  安装杀毒软件,并更新病毒库到最新版本,杀毒软件的策略修改及退出等操作需设置独立的密码。


4、加强数据冗余备份

1)  采用负载均衡集群方式,搭建具有容灾能力的系统,避免单点故障,防止数据丢失;

2)  重要数据及文件实时或定期备份且异地存储。


5、黑盾防火墙端口封堵操作

1)互联网边界防火墙应检查,基础策略-->地址转换-->目标地址转换,查看是否有对互联网映射RDP 3389端口,通过匹配数可初步判断是否异常;建议停用RDP映射。


3.png

2) 互联网边界防火墙应检查,基础策略-->访问控制-->过滤规则,查看是否有对互联网开放RDP 3389端口的策略,建议停用相关规则。


4.png

3) 所有防火墙建议添加策略,阻断勒索病毒常用的端口135、137、139、445、3389,基础策略-->访问控制-->过滤规则:


5.png

A、点击“添加”,添加规则:


B、需添加一条任意到任意,服务为“勒索病毒常用端口”的阻断规则:

位置:选择顶部

源地址:任意

目标地址:任意

 服务:通过右边+直接新建一个服务组,详见下一步说明

 动作:选择“拒绝”

6.png


C、点击“+”,定义服务:

服务名称:可自定义,如用“勒索病毒常用端口”

服务类型:选择服务组;

服务:输入tcp,0-65535:135-139,点击右边加号+添加;

输入tcp,0-65535:445-445,点击右边加号+添加;

输入udp,0-65535:135-139,点击右边加号+添加;

输入udp,0-65535:445-445,点击右边加号+添加;

输入tcp,0-65535:3389-3389

点击“确定”,完成服务对象配置

7.png



D、确定完成阻断规则配置,并保存:


8.png

以上配置为黑盾防火墙V3.5.5配置,其它版本配置可详询海峡公司技术服务中心0591-87303706


2019手机棋牌游戏平台排名_棋牌游戏大全平台排名  联系: hxzhb@heidun.net 闽ICP备06011901号 (c) 1999-2019 Fujian Strait Information Corporation. All Rights Reserved.

返回顶部