资讯首页漏洞速递正文

近日,有部分单位内部网络受到勒索病毒攻击,经确认此次勒索病毒为“GlobeImposter”勒索病毒的最新变种,此次勒索病毒变种繁多,因此被加密后的文件扩展名也各不相同,其包括.ALCO、ALC02、ALC03和RESERVE等。此次GlobeImposter勒索病毒变种主要攻击开启远程桌面服务的服务器,通过RDP弱口令暴力破解方式进行传播。

1.1 描述

本次爆发的勒索病毒,它会使用高强度加密方式加密磁盘文件并将后缀名篡改为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE 等。现已确认,在没有病毒作者私钥的情况下无法恢复被加密的文件。最终该病毒将引导受害者通过邮件与勒索者进行联系,要求受害者将被加密的图片或文档发送到指定的邮箱进行付费解密。

1.1.1 符合以下特征的单位将更容易遭到攻击者的侵害:

  1. 存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。

  2. 内网Windows终端、服务器使用相同或者少数几组口令。

  3. Windows服务器、终端未部署或未及时更新安全加固和杀毒软件。

1.2 解决方案

1.2.1 紧急处置方案

  1、对于已中招服务器

  下线隔离。

  2、对于未中招服务器

  1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。

  2)开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。

  3)每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。

1.2.2 后续跟进方案

  1)对于已下线隔离中招服务器,可以联系安全技术团队进行日志及样本分析。

  2)服务器、终端防护

  1. 所有服务器、终端应强行实施复杂密码策略,杜绝弱口令

  2. 杜绝使用通用密码管理所有机器

  3. 安装杀毒软件、终端安全管理软件并及时更新病毒库

  4. 及时安装漏洞补丁

  5. 服务器开启关键日志收集功能,为安全事件的追踪溯源提供基础

阅读:25
超级管理员知道创宇安全服务团队渗透工程师。