近日,锐捷安全服务中心监测到国内多家医疗机构被GlobeImposter3.0勒索病毒变种攻击,严重影响业务正常运行。锐捷安全团队对病毒样本进行分析,发现感染GlobeImposter3.0后,被加密的文件后缀还是.*****形式,目前统计的被加密文件的后缀有:
.snake
.Rooster
.Horse
.Goat
.all
.Ox
.china
.monkey
.Rat
.Tiger
.Rabbit
.Dragon
.Monkey
.Dog
.Pig
.help
其攻击手法极其丰富,可以通过社会工程、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化,在被加密的目录下会生成一个名为“HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等信息。
年5月Globelmposter勒索病毒第一次出现;
年11月再次爆发;
的2月GlobeImposter2.0勒索病毒爆发;
年8月GlobeImposter2.0再次爆发;
同时年8月GlobeImposter3.0也开始爆发
……
紧急处置方案
1)中了勒索病毒的服务器,立即断开网络。
2)关闭不需要的端口与服务,尤其是、、、端口、Windows远程桌面服务、Server服务、共享服务等(也可根据实际业务情况在相应安全、出口和网络设备上关闭相应端口的通信)。
3)更新密码,设置强口令,尤其是面向互联网的服务器。
4)安装杀毒软件,更新到最新,全面查杀病毒。
5)更新系统补丁至最新。
6)对被加密的数据尝试进行数据恢复。
7)寻求锐捷安全团队进行支持,部署RG-DDP动态防御系统或流量探针等产品,能对病毒传播快速识别并告警,第一时间发现病毒踪迹。
未感染的用户,也建议加强防范
1)备份重要数据。
2)制定应急预案并定期演练。
3)病毒能够在内网爆发,还是由于系统有漏洞导致,建议定期对系统进行全面安全检测评估,及时发现系统安全漏洞并及时修补,避免病毒感染以及内部大范围传播。
4)关闭不需要的端口与服务,尤其是、、、端口、Windows远程桌面服务、Server服务、共享服务等(也可根据实际业务情况在相应安全、出口和网络设备上关闭相应端口的通信)。
5)部署动态防御系统、态势感知系统等“锐捷网络局域网病毒定位防御解决方案”,对现网异常流量、日志等进行统一检测分析,及时把握网络安全动态。
最后,关于锐捷网络相关产品如何具体防范本次勒索病毒,
转载请注明:http://www.wangguoqiangq.com/sglbly/7046.html
