最新變種勒索病毒-GlobeImposter近日再次變種后在網(wǎng)上傳播��,目前該病毒已在多個(gè)省份出現(xiàn)感染情況�����。一旦感染該勒索病毒�,網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)庫(kù)文件將被病毒加密,并須支付勒索資金才能恢復(fù)文件�。經(jīng)分析,提出防護(hù)該勒索病毒的工作建議��。
一�、GlobeImposter勒索病毒的危害
GlobeImposter是目前流行的一類勒索病毒,此次變種為3.0版本����,它會(huì)加密磁盤文件并篡改后綴名*4444形式,同時(shí)在被加密的目錄下會(huì)生成一個(gè)名為”HOW_TO_BACK_FILES”的txt文件���,顯示受害者的個(gè)人ID序列號(hào)以及黑客的聯(lián)系方式等�����。
由于GlobeImposter3.0采用高強(qiáng)度非對(duì)稱加密方式,受害者在沒有私鑰的情況下無法恢復(fù)文件�,如需恢復(fù)重要資料只能被迫支付贖金。通過分析發(fā)現(xiàn)�,該病毒不具備主動(dòng)傳播性,被感染設(shè)備均是由黑客滲透進(jìn)入內(nèi)網(wǎng)后���,在目標(biāo)主機(jī)上人工植入,該病毒具有極強(qiáng)的破壞性和針對(duì)性�����,目前很難被破解����。
二、GlobeImposter勒索病毒的攻擊手法
經(jīng)分析����,該病毒的主要攻擊步驟如下:
第一步對(duì)服務(wù)器進(jìn)行滲透,黑客通過弱口令爆破、端口掃描等攻擊手法����,利用3389等遠(yuǎn)程登陸開放端口,使用自動(dòng)化攻擊腳本����,用密碼字典暴力破解管理員賬號(hào)。
第二步對(duì)內(nèi)網(wǎng)其他機(jī)器進(jìn)行滲透���,攻擊者在打開內(nèi)網(wǎng)突破口后�����,會(huì)在內(nèi)網(wǎng)對(duì)其他主機(jī)進(jìn)行口令爆破�����,利用網(wǎng)絡(luò)嗅探��、多協(xié)議爆破等工具實(shí)施爆破���。
第三步植入勒索病毒�����,在內(nèi)網(wǎng)橫向移動(dòng)至一臺(tái)新的主機(jī)后��,會(huì)嘗試進(jìn)行手動(dòng)或用工具卸載主機(jī)上安裝的防護(hù)軟件�����,手動(dòng)植入勒索病毒��。第四步運(yùn)行病毒����,病毒自動(dòng)執(zhí)行程序,對(duì)電腦內(nèi)文件進(jìn)行加密��,完成病毒攻擊過程�。
三��、防范措施
經(jīng)安全專家分析�,存在弱口令且Windows遠(yuǎn)程桌面服務(wù)(3389端口)暴露在互聯(lián)網(wǎng)上、未做好內(nèi)網(wǎng)安全隔離�����、Windows服務(wù)器、終端未部署或未及時(shí)更新殺毒軟件等漏洞和風(fēng)險(xiǎn)的信息系統(tǒng)更容易遭受該病毒侵害�。針對(duì)此情況,我中心結(jié)合在相關(guān)病毒應(yīng)急響應(yīng)處置經(jīng)驗(yàn)���,提出防護(hù)勒索病毒的具體工作措施:
一是及時(shí)開展自查驗(yàn)證���。為有效應(yīng)對(duì)此次事件,國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心專門設(shè)立“互聯(lián)網(wǎng)暴露系統(tǒng)查詢?cè)破脚_(tái)”(cii.gov110.cn)�����。登錄后各單位通過輸入網(wǎng)段����、域名、網(wǎng)站名稱等關(guān)鍵字�,可查詢各自暴露在互聯(lián)網(wǎng)上的IP、端口等網(wǎng)絡(luò)設(shè)備信息����,及時(shí)采取安全加固措施,進(jìn)一步提高安全防范的針對(duì)性����。
二是及時(shí)加強(qiáng)終端�����、服務(wù)器防護(hù)��,所有服務(wù)器���、終端應(yīng)強(qiáng)行實(shí)施復(fù)雜密碼策略,杜絕弱口令�;安裝殺毒軟件、終端安全管理軟件并及時(shí)更新病毒庫(kù)��;及時(shí)安裝漏洞補(bǔ)?�?;服務(wù)器開啟關(guān)鍵日志收集功能,為安全事件的追溯提供基礎(chǔ)����。
三是嚴(yán)格控制端口管理����,盡量關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口�,如:445,135,139,3389�����;建議關(guān)閉遠(yuǎn)程桌面協(xié)議����。
四是合理劃分內(nèi)網(wǎng)安全域,重要業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)庫(kù)應(yīng)當(dāng)設(shè)置獨(dú)立的安全區(qū)域并做好區(qū)域邊界的安全防御����,嚴(yán)格限制重要區(qū)域的訪問權(quán)限。
五是強(qiáng)化業(yè)務(wù)數(shù)據(jù)備份��,對(duì)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進(jìn)行及時(shí)備份����,并驗(yàn)證備份系統(tǒng)及備份數(shù)據(jù)的可用性;建立安全災(zāi)備預(yù)案�����,同時(shí)���,做好備份系統(tǒng)與主系統(tǒng)的安全隔離�����,避免主系統(tǒng)和備份系統(tǒng)同時(shí)被攻擊����,影響業(yè)務(wù)連續(xù)性。
六是加強(qiáng)應(yīng)急處置���,加強(qiáng)監(jiān)測(cè)以及開展24小時(shí)應(yīng)急值守����,進(jìn)一步完善本單位網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案����,確保突發(fā)事件應(yīng)急響應(yīng)及時(shí)、規(guī)范��、有效��。
七是及時(shí)上報(bào)事件����,突出情況及時(shí)向北京市網(wǎng)絡(luò)與信息安全信息通報(bào)中心以及屬地公安機(jī)關(guān)網(wǎng)安部門報(bào)告。
本文引用天億網(wǎng)絡(luò)安全,原文鏈接:https://mp.weixin.qq.com/s/X_BY889NwAGokiPj6p-0Mw
