• <bdo id="aqomm"><samp id="aqomm"></samp></bdo>
    资讯首页漏洞情报正文

    近日,有部分单位内部网络受到勒索病毒攻击,经确认此次勒索病毒为“GlobeImposter”勒索病毒的最新变种,此次勒索病毒变种繁多,因此被加密后的文件扩展名也各不相同,其包括.ALCO、ALC02、ALC03和RESERVE等。此次GlobeImposter勒索病毒变种主要攻击开启远程桌面服务的服务器,通过RDP弱口令暴力破解方式进行传播。

    1.1 描述

    本次爆发的勒索病毒,它会使用高强度加密方式加密磁盘文件并将后缀名篡改为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE 等。现已确认,在没有病毒作者私钥的情况下无法恢复被加密的文件。最终该病毒将引导受害者通过邮件与勒索者进行联系,要求受害者将被加密的?#35745;?#25110;文档发送到指定的邮箱进行付费解密。

    1.1.1 符合以下特征的单位将更容易遭到攻击者的侵害:

      1. 存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。

      2. 内网Windows终端、服务器使用相同或者少数几组口令。

      3. Windows服务器、终端未部署或未及?#22791;?#26032;安全加固和杀毒软件。

    1.2 解决方案

    1.2.1 紧急处置方案

      1、对于已中招服务器

      下线隔离。

      2、对于未中招服务器

      1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。

      2)开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。

      3)每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。

    1.2.2 后续跟进方案

      1)对于已下线隔离中招服务器,可以联系安全技术团队进行日志及样本分析。

      2)服务器、终端防护

      1. 所有服务器、终端应强行实施复杂密码策略,杜绝弱口令

      2. 杜绝使用通用密码管理所有机器

      3. 安装杀毒软件、终端安全管理软件并及?#22791;?#26032;病毒库

      4. 及时安装漏洞补丁

      5. 服务器开启关键日志收集功能,为安全事件的追踪溯源提供基础

    阅读:56
    超级管理员知道创宇安全服务团队渗透工程师。
    关闭
    安徽25选5开奖信息
  • <bdo id="aqomm"><samp id="aqomm"></samp></bdo>
  • <bdo id="aqomm"><samp id="aqomm"></samp></bdo>