各位尊敬的客戶:
近期,很多單位遭受到勒索病毒的攻擊,該勒索病毒會利用感染的服務器在網絡內進行自動傳播,危害極大,個別服務器已被加密勒索且無法恢復。為保障客戶網絡安全,現提醒各位客戶做好如下工作:
一、病毒分析
根據樣本分析為GlobeImposter 勒索病毒,主要攻擊windows操作系統,主要是開啟遠程桌面服務的服務器,攻擊者通過暴力破解服務器密碼,對內網服務器發起掃描并人工投放病毒加密文件進行勒索,多家單位被入侵,致使相關系統癱瘓,用戶無法正常辦理業務。
攻擊方式:
1.GlobeImposter攻擊者大多利用弱口令漏洞、系統漏洞等方式獲得遠程登錄用戶名和密碼,之后通過 RDP(遠程桌面協議)遠程登錄目標服務器并運行勒索病毒程序! 黑客” 一旦能夠成功登錄服務器,就可以在服務器上為所欲為。即使服務器上安裝了安全軟件,也有可能會被黑客第一時間手動退出,以便于后續投毒勒索。
2.不排除數據庫漏洞、業務漏洞、U盤感染、匿名郵件、不安全wifi等的可能性。
二、針對該勒索病毒具體的防范建議
各單位要高度重視,認真開展風險排查與漏洞修復。
特別提醒:目前遭受勒索病毒加密的文件無法修復,數據備份是行之有效的預防措施。(每天將數據庫做一個異地備份,或備份在移動硬件上,備份完一定拔掉移動硬盤)
1.檢查和關閉非必要的遠程桌面服務,因業務維護需要的遠程桌面服務接收后應該及時關閉相關服務
2.檢查服務器文件是否正常,如服務器出現異常,聯系專業的安全團隊處理。
3.避免將遠程桌面服務( RDP,默認端口為 3389)暴露在公網上,并關閉445、139、 135 等不必要的端口。
4.將服務器密碼修改為高強度的復雜密碼。
5.檢查服務器和數據庫漏洞。
6.使用針對性的防勒索軟件做全面的防勒索安全防護。
7.嚴格執行內外網隔離制度
三、感染后的應對措施
當我們已經確認感染勒索病毒后,應當及時采取必要的自救措施。之所以要進行自救,主要是因為:等待專業人員的救助往往需要一定的時間,采取必要的自救措施,可以減少等待過程中,損失的進一步擴大。例如:與被感染主機相連的其他服務器也存在漏洞或是有缺陷,將有可能也被感染。所以,采取自救措施的目的是為了及時止損,將損失降到最低。
1.正確處置方法
1) 隔離中招主機
當確認服務器已經被感染勒索病毒后,應立即隔離被感染主機。
2) 排查業務系統
在已經隔離被感染主機后,應對局域網內的其他機器進行排查,檢查核心業務系統是否受到影響,生產線是否受到影響,并檢查備份系統是否被加密等,以確定感染的范圍。另外,備份系統如果是安全的,就可以避免支付贖金,順利的恢復文件。所以,當確認服務器已經被感染勒索病毒后,并確認已經隔離被感染主機的情況下,應立即對核心業務系統和備份系統進行排查。
2.錯誤的處置方法
1) 使用移動存儲設備
當確認服務器已經被感染勒索病毒后,在中毒電腦上使用 U 盤、移動硬盤等
移動存儲設備。當電腦感染病毒時,病毒也可能通過 U 盤等移動存儲介質進行傳播。所以,當確認服務器已經被感染勒索病毒后,切勿在中毒電腦上使用 U 盤、移動硬盤等設備。
2) 讀寫中毒主機上的磁盤文件
當確認服務器已經被感染勒索病毒后,反復讀取磁盤上的文件可能會而降低數據正確恢復的概率。
上海匯尼信息科技有限公司
2020.9.11
|