2019年11月2日,Globelmposter 3.0勒索病毒再度來襲!目前已經(jīng)有多家醫(yī)院被入侵,很多企業(yè)內(nèi)部資料被加密,且被加密的資料不可恢復(fù),目前醫(yī)院業(yè)務(wù)癱瘓,正常營業(yè)困難。
什么是勒索病毒?
關(guān)于勒索病毒,最通俗易懂的理解就是,黑客通過攻擊你的系統(tǒng),把你的重要文件用一把鎖鎖住,然后威脅你“一手交錢一手交貨”。由于這把鎖的鑰匙只有攻擊你的人才擁有,所以很多被攻擊的企業(yè)為了找回自己的數(shù)據(jù)資料不得不支付動(dòng)輒千萬的贖金。這種病毒很精明,一般很少入侵個(gè)人電腦,主要針對(duì)的是企業(yè)用戶,因?yàn)槠髽I(yè)有錢啊。
這次的病毒什么來頭?
從2017年5月勒索病毒全球大規(guī)模爆發(fā)以來,它不僅沒有完全消失,而且在不斷變異中,這次的突發(fā)性爆發(fā)是一種叫GlobeImposter的病毒變異,它是四大最活躍勒索病毒種類之一,短短一年時(shí)間已經(jīng)變異到了3.0版本。主要通過垃圾郵件、滲透掃描、遠(yuǎn)程桌面、惡意程序捆綁等方式植入。
GlobeImposter 3.0有什么不同?
從2017年以來,Globelmposter勒索病毒的安全威脅熱度一直居高不下。最新襲來的Globelmposter 3.0變種攻擊手法極其豐富,可以通過社會(huì)工程、RDP爆破、惡意程序捆綁等方式進(jìn)行傳播,被加密文件的后綴將以“*4444”結(jié)尾,比如:
Ox4444、China4444、Help4444、Rat4444、Tiger4444、Rabbit4444、Dragon4444、Snake4444、Horse4444、Goat4444、Monkey4444、Rooster4444、Dog4444。
相關(guān)資料顯示,最新Globelmposter 3.0變種采用的是RSA+AES算法加密,目前暫無相應(yīng)的免費(fèi)解密工具可用。在被加密文件所在的目錄下,會(huì)生成一個(gè)名為“HOW_TO_BACK_FILES”的txt文件,用于顯示受害者的個(gè)人ID序列號(hào)以及攻擊者的聯(lián)系方式等。
中小企業(yè)成勒索重災(zāi)區(qū)
目前Globemposter 3.0變種勒索病毒仍在持續(xù)肆虐傳播,國內(nèi)已有多個(gè)區(qū)域、多個(gè)行業(yè)受該病毒影響,包括政府、醫(yī)療行業(yè)、教育行業(yè)以及企業(yè)單位等,呈現(xiàn)爆發(fā)趨勢。
許多企業(yè)由于在安全方面投入不足,缺乏專業(yè)的安全運(yùn)維理念,漏洞修補(bǔ)不及時(shí),一直以來都是黑客攻擊的重災(zāi)區(qū)。而且由于文件被加密后嚴(yán)重影響到正常的服務(wù)或經(jīng)營,只能被迫支付贖金,這也進(jìn)一步助長了勒索病毒對(duì)Windows服務(wù)器和中小企業(yè)的攻擊,同時(shí)也開始出現(xiàn)一些針對(duì)特定目標(biāo)的精準(zhǔn)勒索。在這里要提醒各位企業(yè)用戶,一定要在內(nèi)網(wǎng)、服務(wù)器管理方面養(yǎng)成良好的安全習(xí)慣,提高風(fēng)險(xiǎn)防范意識(shí),并正確使用安全軟件,避免被病毒攻擊帶來不可挽回的損失。
病毒防范建議
01、定期檢測系統(tǒng)漏洞并修復(fù),及時(shí)更新Flash、Java、以及一系列Web服務(wù)程序,打齊安全補(bǔ)?。?
02、更改服務(wù)器口令:復(fù)雜度最好采用大小寫字母、數(shù)字、特殊符號(hào)混合的組合結(jié)構(gòu)、口令位數(shù)足夠長(15位、兩種組合以上),并且定期更換登錄口令;
03、多臺(tái)機(jī)器不使用相同或相似的口令;
04、不要點(diǎn)擊陌生鏈接、來源不明的郵件附件,打開前使用安全掃描,確認(rèn)安全性,盡量從軟件管家或官網(wǎng)等可信渠道下載軟件;
05、對(duì)重要的數(shù)據(jù)、文件進(jìn)行實(shí)時(shí)或定期備份,而且是異地備份;
06、安全加固,對(duì)服務(wù)器和終端安裝專業(yè)的安全防護(hù)軟件;
07、共享文件夾設(shè)置訪問權(quán)限管理,盡量采用云協(xié)作或內(nèi)部搭建的wiki系統(tǒng)實(shí)現(xiàn)資料共享;
08、Globelmposter勒索病毒之前的變種會(huì)利用RDP(遠(yuǎn)程桌面協(xié)議),因此建議關(guān)閉相應(yīng)的RDP(遠(yuǎn)程桌面協(xié)議)3389端口;
09、盡量關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的高危端口,如:445,135,139,3389等,禁用Office宏;
10、安裝專業(yè)的安全防護(hù)軟件,保持監(jiān)控開啟,并經(jīng)常更新病毒庫;
11、對(duì)于安全軟件報(bào)毒的程序,特別是輔助、破解類軟件不要主觀覺得是誤報(bào),盡量上傳至VT等在線掃描引擎查下報(bào)毒情況;
12、對(duì)內(nèi)網(wǎng)安全域進(jìn)行合理劃分,各個(gè)安全域之間限制嚴(yán)格的 ACL,限制橫向移動(dòng)的范;
13、重要業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)庫應(yīng)當(dāng)設(shè)置獨(dú)立的安全區(qū)域并做好區(qū)域邊界的安全防御,嚴(yán)格限制重要區(qū)域的訪問權(quán)限并關(guān)閉telnet、snmp等不必要、不安全的服務(wù);
14、在網(wǎng)絡(luò)內(nèi)架設(shè) IDS/IPS 設(shè)備,及時(shí)發(fā)現(xiàn)、阻斷內(nèi)網(wǎng)的橫向移動(dòng)行為;
15、在網(wǎng)絡(luò)內(nèi)架設(shè)全流量記錄設(shè)備,以及發(fā)現(xiàn)內(nèi)網(wǎng)的橫向移動(dòng)行為,并為追蹤溯源提供良好的基礎(chǔ)。