圖書信息中心
目錄導航
 
通知公告
關于防範Globelmposter勒索病毒的情況通報
添加時間:2018-04-20 信息來源: 【字體:

網絡與信息安全情況通報

第 5 期

 四川省网络与信息安全信息通报中心          2018418



關于防範Globelmposter勒索病毒的

情況通報

一、Globelmposter勒索病毒概述

GlobeImposter勒索病毒于2017年5月首次被發現,最新變種正在國內快速傳播。病毒感染主機除44個系統文件夾(及170種特定後綴文件名)等保障操作系統正常運行的文件外,其余用戶數據文件會采用RSA2048+AES算法加密,並重命名爲*.GOTHAM、*.YAYA、*.CHAK、*.GRANNY、*.SKUNK、*.TRUE、*.MAKGR等多種後綴文件,目前暫無有效恢複工具。

二、傳播方式

此次變種病毒主要通過僞裝成各種可執行文件(*.exe,*.vbs等),利用社會工程學方法欺騙和誘導用戶點擊下載或運行互聯網網頁或郵件附件、鏈接等方式傳播感染內網主機。其後,病毒會掃描同網段中開放445、135、139、3389端口主機,嘗試利用“永恒之藍”漏洞和弱口令爆破等方法,進行內網主機的感染傳播。

三、工作建議

(一)日常防範。

1、不點擊來源不明的郵件附件,特別是郵件內容具有誘導性和欺騙性,附件以*.exe、*.vbs和*.rar等後綴結尾的郵件。

2、及時安裝補丁(MS17-010,“永恒之藍”漏洞),修複系統或第三方軟件中存在的安全漏洞。

3、關閉不必要的端口,如:445、135,139等,對3389端口配置白名單ip連接登陸。

4、盡量關閉不必要的文件共享,如有需要,請使用ACL和強密碼保護來限制訪問權限,禁用對共享文件夾的匿名訪問。

5、服務器使用高強度且無規律密碼,每個服務器使用不同密碼管理,避免弱口令,定期更換密碼。

6、對沒有互聯需求的服務器/工作站內部訪問設置相應控制,避免可連外網服務器被攻擊後作爲跳板進一步攻擊其他服務器。

7、重要文件和数据(數據庫等)进行定期非本地备份

(二)應急措施。

1、發現病毒感染主機,立即斷網。

2、组织开展内网检测,查找所有开放445 等服务端口的终端和服务器,检查补丁更新,关闭非必要端口,备份重要文件和数据。

3、恢複各項業務,持續開展內網病毒清理、監測和控制。



上一篇:四川省教育廳辦公室關于做好今年上半年重要時段網絡安全保障工作的通知 下一篇:關于萬方數據知識服務平台培訓講座的通知
地址:成都市郫县安德镇彭温路399号 招生电话028-68939881 028-68939880,招生代码:5183蜀ICP備15030541號
Copyright © 2015 SCVIR.COM 四川铁道职业学院版权所有