近日,有部分单位内部网络受到勒索病毒攻击,经确认此次勒索病毒为“GlobeImposter”勒索病毒的新变种,此次勒索病毒变种繁多,因此被加密后的文件扩展名也各不相同,其包括.ALCO、ALC02、ALC03和RESERVE等。此次GlobeImposter勒索病毒变种主要攻击开启远程桌面服务的服务器,通过RDP弱口令暴力破解方式进行传播。
1.1 描述
本次爆发的勒索病毒,它会使用高强度加密方式加密磁盘文件并将后缀名篡改为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE 等。现已确认,在没有病毒作者私钥的情况下无法恢复被加密的文件。终该病毒将引导受害者通过邮件与勒索者进行联系,要求受害者将被加密的图片或文档发送到指定的邮箱进行付费解密。
1.1.1 符合以下特征的单位将更容易遭到攻击者的侵害:
1. 存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。
2. 内网Windows终端、服务器使用相同或者少数几组口令。
3. Windows服务器、终端未部署或未及时更新安全加固和杀毒软件。
1.2 解决方案
1.2.1 紧急处置方案
1、对于已中招服务器
下线隔离。
2、对于未中招服务器
1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。
2)开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。
3)每台服务器设置口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
1.2.2 后续跟进方案
1)对于已下线隔离中招服务器,可以联系安全技术团队进行日志及样本分析。
2)服务器、终端防护
1. 所有服务器、终端应强行实施复杂密码策略,杜绝弱口令
2. 杜绝使用通用密码管理所有机器
3. 安装杀毒软件、终端安全管理软件并及时更新病毒库
4. 及时安装漏洞补丁
5. 服务器开启关键日志收集功能,为安全事件的追踪溯源提供基础
超级管理员知道创宇安全服务团队渗透工程师。