关于Globelmposter30变种病毒的预警通报
2019年3月12日,我工作站接贵州省网络与信息安全信息通报中心通报黔网安通报【2019】第4期“关于Globelmposter3.0变种病毒的预警通报”。
一、漏洞情况
近日,Globelmposter勒索病毒3.0变种再次席卷全国各地医院,个别省份的医疗卫生信息系统遭到攻击并导致瘫痪。经分析研判,此次勒索病毒主要利用自带密码本***服务器远程桌面服务口令(3389端口),***后病毒程序对本地文档实施加密,加密后的文件后缀改以*4444结尾,并要求用户通过邮件交付赎金,同时病毒以该主机为跳板感染内网其他服务器。
二、篡改情况
被该病毒加密的后缀名以*4444结尾,文件被加密后会被加上以下后缀:Ox4444、China4444、Help4444、Rat4444 、Tiger4444 、Rabbit4444 、Dragon4444 、Snake4444 、Horse4444、Goat4444 、Monkey4444 、Rooster4444、Dog4444。同时在被加密的目录下会生成一个为”HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及***的联系方式等。
三、解决方法
1、隔离感染主机:
迅速隔离中毒主机,关闭所有网络连接,禁用网卡,可直接拔网线断网。
2、切断传播途径:
(1)勒索软件会利用RDP(远程桌面协议),如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用“互联网暴露资产测绘公有云平台”(cii.gov110.cn)对3389等端口进行封堵,防止扩散。
(2)在卫计委专网级联边界位置通过防火墙等设备建立访问控制策略,封堵入站的3389、445等端口,防止病毒向其他单位进行横向、纵向攻击。
3、安全加固:
(1)SMB服务器尽量设置较为复杂的密码,建议密码设置为字符串+特殊字符+数字,并且不要对公网开放。
(2)及时给电脑打补丁,修复漏洞。
4、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
5、数据备份:对重要的数据文件定期进行非本地备份。
当前正值全国“两会”召开时期,请各重要行业部门及时进行风险预警,开展网络安全风险隐患排查,完善事件应急处置预案,加强安全监测和值班值守,发现网站系统遭攻击后及时处置并报告。
毕节市网络与信息安全信息通报中心驻纳雍工作站
2019年3月12日