咨询热线: 0731-89792916/17752868196
信息内容
您现在所在位置:网站首页 >> 信息内容
关于Globelmposter3.0勒索病毒变种攻击的 紧急预警通报 [2019/3/14]

宁夏网络安全信息通报中心技术支撑单位深信服安全团队监测发现:近日,Globelmposter勒索病毒3.0变种再次席卷全国各地医院,已在多个省份形成规模爆发趋势。此次事件安全风险级别为“高危”。现将事件详情通报如下:

一、事件情况

Globelmposter 3.0勒索变种的安全威胁热度一直居高不下。2018年8月,全国多家医院及企事业单位遭受攻击。Globelmposter 3.0勒索病毒攻击手法丰富,可通过社会工程、RDP爆破、恶意程序捆绑等多种方式传播,加密文件后缀名以*4444结尾,文件被加密后被加入Ox4444、China4444、Help4444、Rat4444、Tiger4444、Rabbit4444、Dragon4444 、Snake4444、Horse4444、Goat4444、Monkey4444、Rooster4444、Dog4444等后缀。Globelmposter3.0勒索病毒程序使用自带密码本破解服务器远程桌面3389端口服务口令,破解后自动登录并将病毒体拷贝至服务器运行。运行后首先加密勒索本地文档,然后将本机作为跳板,扫描内网开放的3389服务层层感染内网服务器。

由于Globelmposter 3.0采用RSA2048算法加密,目前勒索样本加密文件暂无解密工具,文件被加密后将被加上*4444系列后缀。被加密目录下自动生成名为”HOW_TO_BACK_FILES”的txt文件,显示受害者个人ID序列号及黑客联系方式等。

二、影响范围

主要为医疗行业,不排除其他行业系统受到影响。

三、处置建议

(一)隔离感染主机

迅速隔离中毒主机,关闭所有网络连接,禁用网卡,可直接拔网线断网。

(二)切断传播途径

1.Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议)。若业务上无需使用RDP,建议关闭RDP。

2.卫健委专网级联边界位置通过防火墙等设备建立访问控制策略,封堵入站3389、445等端口,防止其他单位的横向、纵向攻击。

(三)安全加固

1.若要使用SMB服务器尽量设置较为复杂的密码,建议密码设置为字符串+特殊字符+数字,且禁止对公网开放,建议使用vpn。

2.及时升级电脑,修复漏洞。

(四)数据备份

重要数据文件定期进行非本地备份。

(五)加入“互联网暴露资产测绘公有云平台”

为有效应对处置此次事件,国家网络与信息中心协调技术支撑单位开放“互联网暴露资产测绘公有云平台”(cii.gov110.cn)注册服务,各单位可以登录该平台,使用统一注册邀请码“37b853ace4”进行自主注册,注册后输入各单位网段、域名或网站名称认领本单位暴露在互联网上的ip、端口、操作系统、设备型号类型等网络空间资产,对于暴露远程桌面3389端口的,使用弱密码扫描工具进行检测。

附件:病毒查杀工具链接

1.64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

2.32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

新闻资讯 News





湖南天海达信息科技有限公司

电话:0731-89792916 0731-89792906

传真:0731-89792916

邮箱:thdhn@thdhn.com

地址:湖南长沙市芙蓉区芙蓉中路明城
             国际中心大厦2021

加入天海达信息

                             湖南天海达信息科技有限公司
电话:0731-89792916   传真:0731-89792906  
地址:芙蓉区芙蓉中路明城国际中心2021        湘ICP备16022013号