知识 - 安全界的洪水猛兽, GlobeImposter3.0 勒索病毒攻击预警

2019-08-14 16:57:03

知识 | 安全界的洪水猛兽, GlobeImposter3.0 勒索病毒攻击预警

紧急预警

据国家网路与信息安全信息通报中心监测发现,Globelmposter勒索病毒3.0变种在我国个别省市医院爆发。近日,又发现Globelmposter勒索病毒3.0变种再次席卷全国各级公立、民营医院,受影响的电脑系统,存储介质上的档,包括客户资料库都被恶意加密破坏,损失惨重。

 

病毒分析

病毒名称Globelmposter3.0变种

病毒性质:勒索病毒

影响范围:多省份出现医院大规模爆发,有全国爆发趋势

危害等级:高危

该病毒将加密后的档重命名为.Ox4444扩展名或变种,一旦感染该勒索病毒,电脑系统的资料库档将被病毒加密,须支付勒索资金才能恢复档,勒索金额高达数万美金。

由于Globelmposter采用RSA+AES演算法加密,目前该勒索样本加密的档暂无解密工具,档被加密后会被加上Ox4444尾码。在被加密的目录下会生成一个名为“HOW_TO_BACK_FILES”的txt档,显示受害者的个人ID序列号以及骇客的联系方式等。

宏脉软件 

1 来源于网路

Globelmposter勒索病毒攻击步骤

 

第一步:对服务器进行渗透,黑客通过弱口令爆破、端口扫描等攻击手法,利用3389等远程登录开放端口,使用自动化攻击脚本,用密码字典暴力破解管理员帐号。

第二步:对内网其他机器进行渗透,攻击者在打开内网突破口后,会在内网对其他主机进行口令爆破,利用网路嗅探、多协议爆破等工具实施爆破。

第三步:植入勒索病毒,在内网横向移动至一台新的主机后,会尝试进行手动或用工具卸载主机上安装的防护软体,手动植入勒索病毒。

第四步:运行病毒,病毒自动执行程式,对电脑内档进行加密,完成病毒攻击过程。

 

 

◆◆应急方案◆◆

 

1、隔离感染主机

迅速隔离中毒主机,关闭所有网路连接,禁用网卡,可直接拔网线断网。

2、建议不要支付赎金,支付赎金并不能保证可以得到所需的解锁密钥。

 

 

◆◆防范措施◆◆

 

1、不打开不明来历的邮件、网页、档。

2、禁用共用、远程终端,如445,135,139,3389,1433等端口。

勒索病毒的传播途径主要是垃圾邮件,以及通过渗透扫描、远程桌面等方式远程植入。

医院咨询师特别要高度警惕黑客假扮求美顾客发送含有病毒的图片或诱导医院咨询师点击含有病毒的链接。

3、及时加强终端、服务器防护。

所有服务器、终端应强行实施复杂密码策略,杜绝弱口令;杜绝使用通用密码管理所有机器;安装杀毒软体、终端安全管理软体并及时更新病毒库;及时安装漏洞补丁。

4、合理划分内网安全域。

重要业务系统及核心资料库应当设置独立的安全区域并做好区域边界的安全防御,严格限制重要区域的访问许可权。

5、强化业务数据备份。

对业务系统及资料库档进行及时本地备份和异地备份,并验证备份系统及备份数据的可用性。 


宏脉系统助您提高安全防范

宏脉医美经营管理系统最新版本采用的是第三代核心数据加密的信息化立体经营管理体系——CS/BS混合架构+云计算模式。

· 

应用最新的资料库加密技术,以及通讯加密处理方式。

· 

· 

每个医院资料库拥有独立的数据密码,互相不通用,能保证医院的数据安全。

· 

· 

支持独立的服务器部署及混合云部署两种方式。

· 

· 

实现自动本地、异地、云备份(需要自行购买云存储空间)。

· 

· 

对医院人员许可权进行控制保证数据安全。

· 

宏脉软件 

2 宏脉CS/BS混合架构+云计算模式的医院信息系统

 

如何防护勒索病毒

本质是“五条”关键性操作

l 服务器操作系统更新到windows 2012 server并及时更新系统补丁。

重要数据要定期并及时备份(分主机备份及云备份)。

l 服务器不要对外映射3389端口,远程点用户要单独部署远程点伺服器,且伺服器不允许有弱密码(简单的密码组合)情况。如确实需要做远程桌面管理,必须更改默认端口号及设置远程桌面访问白名单。

l 服务器把资料库的1433端口改为其他端口,建立其他用户来使用系统,禁用sa用户。

 

l 服务器一定要安装安全防护软体,来确保服务器的安全性。

 

宏脉坚持把客户的需求放在首位,让客户使用宏脉产品时能用的放心和用的安心??突У男枰?,我们有责任满足。精湛的品质,合理的价格,优质的服务,是我们对客户的承诺,如需帮助请致电020-38805038。

 

 


电话咨询
产品中心
案例展示
吉林快3缩水软件