首頁安全服務安全公告
正文

【預警】Globelmposter 3.0勒索病毒變種攻擊持續高發,海峽信息教您如何應對

發布時間:2019-03-12 16:03   瀏覽次數:540


       Globelmposter 3.0勒索病毒近日在政府、醫療、教育等行業大范圍的傳播,其可通過RDP(遠程桌面服務)口令暴力破解,SMB共享、釣魚郵件、破解程序捆綁等方式擴散。此病毒會先嘗試關閉殺毒軟件,再感染系統,然后以源頭計算機為跳板,通過抓取操作系統的口令,利用RDP或SMB服務,橫向感染局域網。對于未進行全面安全建設的系統具有極大破壞性,應引起足夠重視。


        Globelmposter 3.0病毒,采用RSA加密算法,鎖定系統上的重要文件,其加密后文件后綴有:.*4444、.*TRUE、*.ALC0*、RESERVE、*.SEXY、*.DOC等,且被加密系統的每個文件夾中都會存在勒索通知信息文件:how_to_back_files.html。目前,Globelmposter 3.0勒索病毒沒有公開的解密工具。


【應急處置】

1.  立即隔離已被感染的計算機;

2. 在互聯網邊界或局域網邊界處,暫時關閉3389(RDP)端口和445(SMB)端口連接,或僅對業務IP開放必要的連接端口;

使用黑盾防火墻的用戶,應該檢查各網絡邊界、骨干節點的防火墻安全配置策略,根據業務情況設置訪問控制策略,阻斷勒索病毒常用傳播端口(包括3389、445、135-139等),排查不必要的數據庫開放端口[如1433(SQLServer)、3306(MySQL)、1521(Oracle)等]。

3. 被鎖定文件的計算機,建議備份需要的數據文件,并重裝操作系統;

4. 其他已隔離未鎖定文件的計算機應進行全盤查殺。


【防護方案】

1.提升人員安全意識

1)  網頁、陌生郵件、互聯網通信工具中不明鏈接或附件,不輕易點擊或下載;

2)  從官網下載正版、開源可信的程序及文件,不使用破解、盜版、游戲外掛等來路不明的程序;

3)  為計算機安裝殺毒軟件,定期更新病毒庫;

4)  運行程序前應經過病毒查殺且在測試環境先進行測試。


2.加強互聯網邊界訪問控制

1)  不對互聯網開放RDP遠程桌面及SMB協議,應使用VPN接入+堡壘機運維的登錄方式;

2)  及時檢查各自門戶網站、APP系統等信息系統的安全狀態,及時修復安全漏洞;

3)  嚴格控制對互聯網提供應用的服務器其訪問內網的權限,禁止其訪問內網的RDP和SMB服務。

4)  加強安全域之間的安全防護與安全策略細粒度,如在網絡層控制3389、445等危險端口的訪問,僅對堡壘機開放3389端口以及對業務IP開放445端口。

5)  通過APT、IDS、IPS等安全設備,實時監控并及時告警正在發生的3389、445等端口大流量攻擊行為;


3、加強操作系統安全防范

1)  在操作系統上使用IPsec腳本禁用3389和445端口,或僅對業務IP開放必要的端口;

1.png

2)  為每臺計算機登錄賬號設置獨立的強口令(口令長度8位以上,口令由數字、大小字母、特殊符號字符組成);

3) 及時更新系統安全補丁,確保每臺計算機的MS17-010等高危漏洞的補丁已修復。(不能修復安全補丁的,在業務允許的情況下,用IPsec策略來禁用445等共享端口);

黑盾云平臺補丁下載地址: http://www.heiduncloud.cn/pub_article/articles.html?id=402&arctype_id=13&topics_id=4 

2.png

4)  安裝殺毒軟件,并更新病毒庫到最新版本,殺毒軟件的策略修改及退出等操作需設置獨立的密碼。


4、加強數據冗余備份

1)  采用負載均衡集群方式,搭建具有容災能力的系統,避免單點故障,防止數據丟失;

2)  重要數據及文件實時或定期備份且異地存儲。


5、黑盾防火墻端口封堵操作

1)互聯網邊界防火墻應檢查,基礎策略-->地址轉換-->目標地址轉換,查看是否有對互聯網映射RDP 3389端口,通過匹配數可初步判斷是否異常;建議停用RDP映射。


3.png

2) 互聯網邊界防火墻應檢查,基礎策略-->訪問控制-->過濾規則,查看是否有對互聯網開放RDP 3389端口的策略,建議停用相關規則。


4.png

3) 所有防火墻建議添加策略,阻斷勒索病毒常用的端口135、137、139、445、3389,基礎策略-->訪問控制-->過濾規則:


5.png

A、點擊“添加”,添加規則:


B、需添加一條任意到任意,服務為“勒索病毒常用端口”的阻斷規則:

位置:選擇頂部

源地址:任意

目標地址:任意

 服務:通過右邊+直接新建一個服務組,詳見下一步說明

 動作:選擇“拒絕”

6.png


C、點擊“+”,定義服務:

服務名稱:可自定義,如用“勒索病毒常用端口”

服務類型:選擇服務組;

服務:輸入tcp,0-65535:135-139,點擊右邊加號+添加;

輸入tcp,0-65535:445-445,點擊右邊加號+添加;

輸入udp,0-65535:135-139,點擊右邊加號+添加;

輸入udp,0-65535:445-445,點擊右邊加號+添加;

輸入tcp,0-65535:3389-3389

點擊“確定”,完成服務對象配置

7.png



D、確定完成阻斷規則配置,并保存:


8.png

以上配置為黑盾防火墻V3.5.5配置,其它版本配置可詳詢海峽公司技術服務中心0591-87303706


福建省海峽信息技術有限公司 版權所有  聯系: [email protected] 閩ICP備06011901號 ? 1999-2019 Fujian Strait Information Corporation. All Rights Reserved.

返回頂部

三晋棋牌大同攉龙