寧夏網絡安全信息通報中心技術支撐單位深信服安全團隊監測發現:近日�,Globelmposter勒索病毒3.0變種再次席卷全國各地醫院����,已在多個省份形成規模爆發趨勢�。此次事件安全風險級別為“高?����!薄����,F將事件詳情通報如下:
一���、事件情況
Globelmposter 3.0勒索變種的安全威脅熱度一直居高不下����。2018年8月��,全國多家醫院及企事業單位遭受攻擊����。Globelmposter 3.0勒索病毒攻擊手法豐富�,可通過社會工程���、RDP爆破����、惡意程序捆綁等多種方式傳播���,加密文件后綴名以*4444結尾�����,文件被加密后被加入Ox4444��、China4444���、Help4444�、Rat4444���、Tiger4444�����、Rabbit4444����、Dragon4444 �����、Snake4444��、Horse4444����、Goat4444���、Monkey4444����、Rooster4444���、Dog4444等后綴����。Globelmposter3.0勒索病毒程序使用自帶密碼本破解服務器遠程桌面3389端口服務口令�����,破解后自動登錄并將病毒體拷貝至服務器運行����。運行后首先加密勒索本地文檔��,然后將本機作為跳板�,掃描內網開放的3389服務層層感染內網服務器���。
由于Globelmposter 3.0采用RSA2048算法加密���,目前勒索樣本加密文件暫無解密工具��,文件被加密后將被加上*4444系列后綴����。被加密目錄下自動生成名為”HOW_TO_BACK_FILES”的txt文件����,顯示受害者個人ID序列號及黑客聯系方式等��。
二��、影響范圍
主要為醫療行業����,不排除其他行業系統受到影響��。
三�、處置建議
(一)隔離感染主機
迅速隔離中毒主機��,關閉所有網絡連接�����,禁用網卡�,可直接拔網線斷網���。
(二)切斷傳播途徑
1.Globelmposter勒索軟件之前的變種會利用RDP(遠程桌面協議)�。若業務上無需使用RDP���,建議關閉RDP��。
2.衛健委專網級聯邊界位置通過防火墻等設備建立訪問控制策略���,封堵入站3389���、445等端口����,防止其他單位的橫向�、縱向攻擊��。
(三)安全加固
1.若要使用SMB服務器盡量設置較為復雜的密碼���,建議密碼設置為字符串 特殊字符 數字����,且禁止對公網開放�����,建議使用vpn����。
2.及時升級電腦����,修復漏洞��。
(四)數據備份
重要數據文件定期進行非本地備份�����。
(五)加入“互聯網暴露資產測繪公有云平臺”
為有效應對處置此次事件��,國家網絡與信息中心協調技術支撐單位開放“互聯網暴露資產測繪公有云平臺”(cii.gov110.cn)注冊服務���,各單位可以登錄該平臺�����,使用統一注冊邀請碼“37b853ace4”進行自主注冊�,注冊后輸入各單位網段���、域名或網站名稱認領本單位暴露在互聯網上的ip���、端口��、操作系統����、設備型號類型等網絡空間資產�,對于暴露遠程桌面3389端口的�,使用弱密碼掃描工具進行檢測�����。
附件:病毒查殺工具鏈接
1.64位系統下載鏈接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
2.32位系統下載鏈接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
