<u id="fuibs"></u>
    1. <rp id="fuibs"></rp>
          1. <source id="fuibs"></source>
            首页安全服务安全公告
            正文

            【预警】Globelmposter 3.0勒索病毒变种攻击持续高发,海峡信息教您如何应对

            发布时间:2019-03-12 16:03   浏览次数:918


                   Globelmposter 3.0勒索病毒近日在政府、医疗、教育等行业大范围的传播,其可通过RDP(远程桌面服务)口令暴力破解,SMB共享、钓鱼邮件、破解程序捆绑等方式扩散。此病毒会先尝试关闭杀毒软件,再感染系统,然后以源头计算机为跳板,通过抓取操作系统的口令,利用RDP或SMB服务,横向感染局域网。对于未进行全面安全建设的系统具有极大破坏性,应引起足够重视。


                    Globelmposter 3.0病毒,采用RSA加密算法,锁定系统上的重要文件,其加密后文件后缀有:.*4444、.*TRUE、*.ALC0*、RESERVE、*.SEXY、*.DOC等,且被加密系统的每个文件夹中都会存在勒索通知信息文件:how_to_back_files.html。目前,Globelmposter 3.0勒索病毒没有公开的解密工具。


            【应急处置】

            1.  立即隔离已被感染的计算机;

            2. 在互联网边界或局域网边界处,暂时关闭3389(RDP)端口和445(SMB)端口连接,或仅对业务IP开放必要的连接端口;

            使用黑盾防火墙的用户,应该检查各网络边界、骨干节点的防火墙安全配置策略,根据业务情况设置访问控制策略,阻断勒索病毒常用传播端口(包括3389、445、135-139等),排查不必要的数据库开放端口[如1433(SQLServer)、3306(MySQL)、1521(Oracle)等]。

            3. 被锁定文件的计算机,建议备份需要的数据文件,并重装操作系统;

            4. 其他已隔离未锁定文件的计算机应进行全盘查杀。


            【防护方案】

            1.提升人员安全意识

            1)  网页、陌生邮件、互联网通信工具中不明链接或附件,不轻易点击或下载;

            2)  从官网下载正版、开源可信的程序及文件,不使用破解、盗版、游戏外挂等来路不明的程序;

            3)  为计算机安装杀毒软件,定期更新病毒库;

            4)  运行程序前应经过病毒查杀且在测试环境先进行测试。


            2.加强互联网边界访问控制

            1)  不对互联网开放RDP远程桌面及SMB协议,应使用VPN接入+堡垒机运维的登录方式;

            2)  及时检查各自门户网站、APP系统等信息系统的安全状态,及时修复安全漏洞;

            3)  严格控制对互联网提供应用的服务器其访问内网的权限,禁止其访问内网的RDP和SMB服务。

            4)  加强安全域之间的安全防护与安全策略细粒度,如在网络层控制3389、445等危险端口的访问,仅对堡垒机开放3389端口以及对业务IP开放445端口。

            5)  通过APT、IDS、IPS等安全设备,实时监控并及时告警正在发生的3389、445等端口大流量攻击行为;


            3、加强操作系统安全防范

            1)  在操作系统上使用IPsec脚本禁用3389和445端口,或仅对业务IP开放必要的端口;

            1.png

            2)  为每台计算机登录账号设置独立的强口令(口令长度8位以上,口令由数字、大小字母、特殊符号字符组成);

            3) 及时更新系统安全补丁,确保每台计算机的MS17-010等高危漏洞的补丁已修复。(不能修复安全补丁的,在业务允许的情况下,用IPsec策略来禁用445等共享端口);

            黑盾云平台补丁下载地址: http://www.heiduncloud.cn/pub_article/articles.html?id=402&arctype_id=13&topics_id=4 

            2.png

            4)  安装杀毒软件,并更新病毒库到最新版本,杀毒软件的策略修改及退出等操作需设置独立的密码。


            4、加强数据冗余备份

            1)  采用负载均衡集群方式,搭建具有容灾能力的系统,避免单点故障,防止数据丢失;

            2)  重要数据及文件实时或定期备份且异地存储。


            5、黑盾防火墙端口封堵操作

            1)互联网边界防火墙应检查,基础策略-->地址转换-->目标地址转换,查看是否有对互联网映射RDP 3389端口,通过匹配数可初步判断是否异常;建议停用RDP映射。


            3.png

            2) 互联网边界防火墙应检查,基础策略-->访问控制-->过滤规则,查看是否有对互联网开放RDP 3389端口的策略,建议停用相关规则。


            4.png

            3) 所有防火墙建议添加策略,阻断勒索病毒常用的端口135、137、139、445、3389,基础策略-->访问控制-->过滤规则:


            5.png

            A、点击“添加”,添加规则:


            B、需添加一条任意到任意,服务为“勒索病毒常用端口”的阻断规则:

            位置:选择顶部

            源地址:任意

            目标地址:任意

             服务:通过右边+直接新建一个服务组,详见下一步说明

             动作:选择“拒绝”

            6.png


            C、点击“+”,定义服务:

            服务名称:可自定义,如用“勒索病毒常用端口”

            服务类型:选择服务组;

            服务:输入tcp,0-65535:135-139,点击右边加号+添加;

            输入tcp,0-65535:445-445,点击右边加号+添加;

            输入udp,0-65535:135-139,点击右边加号+添加;

            输入udp,0-65535:445-445,点击右边加号+添加;

            输入tcp,0-65535:3389-3389

            点击“确定”,完成服务对象配置

            7.png



            D、确定完成阻断规则配置,并保存:


            8.png

            以上配置为黑盾防火墙V3.5.5配置,其它版本配置可详询海峡公司技术服务中心0591-87303706


            福建省海峡信息技术有限公司 版权所有  联系: hxzhb@heidun.net 闽ICP备06011901号 ? 1999-2019 Fujian Strait Information Corporation. All Rights Reserved.

            返回顶部

            中学生网上赚钱 665| 571| 122| 750| 247| 619| 896| 855| 645| 732| 918| 493| 262| 931| 118| 110| 209| 465| 465| 919| 535| 436| 279| 188| 130| 266| 142| 187| 67| 950| 739| 850| 866| 721| 444| 167| 282| 339| 268| 189| 155|