諮詢熱線:18681822227 / 18681820008 / 400-0029-112
新闻资讯
Encyclopedia of hairy crabs
推薦信息
病毒來了……
瀏覽人數:912人    时间:2019-11-12

2019年11月2日,Globelmposter 3.0勒索病毒再度來襲!目前已經有多家醫院被入侵,很多企業內部資料被加密,且被加密的資料不可恢復,目前醫院業務癱瘓,正常營業困難。

什麼是勒索病毒?

關於勒索病毒,最通俗易懂的理解就是,黑客通過攻擊你的系統,把你的重要文件用一把鎖鎖住,然後威脅你“一手交錢一手交貨”。由於這把鎖的鑰匙只有攻擊你的人才擁有,所以很多被攻擊的企業爲了找回自己的數據資料不得不支付動輒千萬的贖金。這種病毒很精明,一般很少入侵個人電腦,主要針對的是企業用戶,因爲企業有錢啊。

這次的病毒什麼來頭?

2017年5月勒索病毒全球大規模爆發以來,它不僅沒有完全消失,而且在不斷變異中,這次的突發性爆發是一種叫GlobeImposter的病毒變異,它是四大最活躍勒索病毒種類之一,短短一年時間已經變異到了3.0版本。主要通過垃圾郵件、滲透掃描、遠程桌面、惡意程序捆綁等方式植入。

GlobeImposter 3.0有什麼不同?

2017年以來,Globelmposter勒索病毒的安全威脅熱度一直居高不下。最新襲來的Globelmposter 3.0變種攻擊手法極其豐富,可以通過社會工程、RDP爆破、惡意程序捆綁等方式進行傳播,被加密文件的後綴將以“*4444”結尾,比如:

Ox4444、China4444、Help4444、Rat4444、Tiger4444、Rabbit4444、Dragon4444、Snake4444、Horse4444、Goat4444、Monkey4444、Rooster4444、Dog4444。

相關資料顯示,最新Globelmposter 3.0變種採用的是RSA+AES算法加密,目前暫無相應的免費解密工具可用。在被加密文件所在的目錄下,會生成一個名爲“HOW_TO_BACK_FILES”的txt文件,用於顯示受害者的個人ID序列號以及攻擊者的聯繫方式等。

中小企業成勒索重災區

目前Globemposter 3.0變種勒索病毒仍在持續肆虐傳播,國內已有多個區域、多個行業受該病毒影響,包括政府、醫療行業、教育行業以及企業單位等,呈現爆發趨勢。

許多企業由於在安全方面投入不足,缺乏專業的安全運維理念,漏洞修補不及時,一直以來都是黑客攻擊的重災區。而且由於文件被加密後嚴重影響到正常的服務或經營,只能被迫支付贖金,這也進一步助長了勒索病毒對Windows服務器和中小企業的攻擊,同時也開始出現一些針對特定目標的精準勒索。在這裏要提醒各位企業用戶,一定要在內網、服務器管理方面養成良好的安全習慣,提高風險防範意識,並正確使用安全軟件,避免被病毒攻擊帶來不可挽回的損失。

病毒防範建議

01、定期檢測系統漏洞並修復,及時更新Flash、Java、以及一系列Web服務程序,打齊安全補丁;

02、更改服務器口令:複雜度最好採用大小寫字母、數字、特殊符號混合的組合結構、口令位數足夠長(15位、兩種組合以上),並且定期更換登錄口令;

03、多台机器不使用相同或相似的口令;

04、不要點擊陌生鏈接、來源不明的郵件附件,打開前使用安全掃描,確認安全性,儘量從軟件管家或官網等可信渠道下載軟件;

05、對重要的數據、文件進行實時或定期備份,而且是異地備份;

06、安全加固,對服務器和終端安裝專業的安全防護軟件;

07、共享文件夾設置訪問權限管理,儘量採用雲協作或內部搭建的wiki系統實現資料共享;

08、Globelmposter勒索病毒之前的變種會利用RDP(遠程桌面協議),因此建議關閉相應的RDP(遠程桌面協議)3389端口;

09、儘量關閉不必要的文件共享權限以及關閉不必要的高危端口,如:445,135,139,3389等,禁用Office宏;

10、安裝專業的安全防護軟件,保持監控開啓,並經常更新病毒庫;

11、對於安全軟件報毒的程序,特別是輔助、破解類軟件不要主觀覺得是誤報,儘量上傳至VT等在線掃描引擎查下報毒情況;

12、對內網安全域進行合理劃分,各個安全域之間限制嚴格的 ACL,限制橫向移動的範;

13、重要業務系統及核心數據庫應當設置獨立的安全區域並做好區域邊界的安全防禦,嚴格限制重要區域的訪問權限並關閉telnet、snmp等不必要、不安全的服務;

14、在網絡內架設 IDS/IPS 設備,及時發現、阻斷內網的橫向移動行爲;

15、在網絡內架設全流量記錄設備,以及發現內網的橫向移動行爲,併爲追蹤溯源提供良好的基礎。