寧夏網絡安全信息通報中心技術支撐單位深信服安全團隊監測發現:近日���,Globelmposter勒索病毒3.0變種再次席卷全國各地醫院����,已在多個省份形成規模爆發趨勢���。此次事件安全風險級別為“高����!薄��,F將事件詳情通報如下:
一�����、事件情況
Globelmposter 3.0勒索變種的安全威脅熱度一直居高不下�����。2018年8月���,全國多家醫院及企事業單位遭受攻擊�。Globelmposter 3.0勒索病毒攻擊手法豐富��,可通過社會工程�����、RDP爆破�、惡意程序捆綁等多種方式傳播�����,加密文件后綴名以*4444結尾���,文件被加密后被加入Ox4444����、China4444����、Help4444���、Rat4444��、Tiger4444��、Rabbit4444��、Dragon4444 ��、Snake4444�、Horse4444�����、Goat4444�����、Monkey4444�、Rooster4444���、Dog4444等后綴�����。Globelmposter3.0勒索病毒程序使用自帶密碼本破解服務器遠程桌面3389端口服務口令��,破解后自動登錄并將病毒體拷貝至服務器運行�����。運行后首先加密勒索本地文檔��,然后將本機作為跳板����,掃描內網開放的3389服務層層感染內網服務器����。
由于Globelmposter 3.0采用RSA2048算法加密����,目前勒索樣本加密文件暫無解密工具���,文件被加密后將被加上*4444系列后綴����。被加密目錄下自動生成名為”HOW_TO_BACK_FILES”的txt文件���,顯示受害者個人ID序列號及黑客聯系方式等����。
二��、影響范圍
主要為醫療行業��,不排除其他行業系統受到影響�����。
三�、處置建議
(一)隔離感染主機
迅速隔離中毒主機�����,關閉所有網絡連接����,禁用網卡����,可直接拔網線斷網�。
(二)切斷傳播途徑
1.Globelmposter勒索軟件之前的變種會利用RDP(遠程桌面協議)����。若業務上無需使用RDP���,建議關閉RDP���。
2.衛健委專網級聯邊界位置通過防火墻等設備建立訪問控制策略�,封堵入站3389���、445等端口�����,防止其他單位的橫向��、縱向攻擊����。
(三)安全加固
1.若要使用SMB服務器盡量設置較為復雜的密碼�,建議密碼設置為字符串+特殊字符+數字����,且禁止對公網開放����,建議使用vpn���。
2.及時升級電腦��,修復漏洞�����。
(四)數據備份
重要數據文件定期進行非本地備份�����。
(五)加入“互聯網暴露資產測繪公有云平臺”
為有效應對處置此次事件����,國家網絡與信息中心協調技術支撐單位開放“互聯網暴露資產測繪公有云平臺”(cii.gov110.cn)注冊服務���,各單位可以登錄該平臺�����,使用統一注冊邀請碼“37b853ace4”進行自主注冊���,注冊后輸入各單位網段�����、域名或網站名稱認領本單位暴露在互聯網上的ip�����、端口�����、操作系統�����、設備型號類型等網絡空間資產��,對于暴露遠程桌面3389端口的�����,使用弱密碼掃描工具進行檢測���。
附件:病毒查殺工具鏈接
1.64位系統下載鏈接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
2.32位系統下載鏈接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
