关于GlobeImposter勒索病毒的风险提示及防范通知

校网用户:

近期,多家技术机构监测发现,利用GlobeImposter勒索病毒发起的攻击呈上升趋势。目前已有党政机关业务系统感染GlobeImposter勒索病毒,导致数据被加密,业务中断。此次GlobeImposter勒索病毒攻击的主要方式是暴力破解RDP远程登录密码后,再进一步在内网横向渗透。与近期其他版本勒索病毒主要针对服务器以及数据库文件加密不同,此次爆发的GlobeImposter勒索病毒并不区分被入侵机器是否为服务器,一旦入侵成功后直接感染。

一、影响和危害

GlobeImposter勒索病毒感染安装有Windows系统的电脑主机后,会加密Windows系统中的磁盘文件,且更改被加密文件的后缀名:如.Techno、.DOC、.CHAK、.FREEMAN、.TRUE等形式。由于其采用高强度非对称加密方式,目前尚未发现有效的破解方法和破解工具;受害者在没有私钥的情况下无法恢复文件,如需恢复重要资料只能被迫支付赎金。

二、建议应对措施

1、系统漏洞攻击防御措施:

(1)及时更新系统补丁,防止攻击者通过漏洞入侵系统

(2)安装补丁不方便的组织,可安装网络版安全软件,对局域网中的机器统一打补丁

(3)在不影响业务的前提下,将危险性较高的,容易被漏洞利用的端口修改为其它端口号,如135、139、445端口(暂时禁用Server服务)。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险

2、远程访问弱口令攻击防御措施:

(1)使用复杂密码

(2)更改远程访问的默认端口号,改为其它端口号

(3)禁用系统默认远程访问,使用其它远程管理软件

3、钓鱼邮件攻击防御措施:

(1)安装杀毒软件,保持监控开启,及时更新病毒库

(2)如果业务不需要,建议关闭office宏,powershell脚本等

(3)开启显示文件扩展名

(4)不打开可疑的邮件附件

(5)不点击邮件中的可疑链接

4、web服务漏洞和弱口令攻击防御措施:

(1)及时更新web服务器组件,及时安装软件补丁

(2)web服务不要使用弱口令和默认密码

5、数据库漏洞和弱口令攻击防御措施:

(1)更改数据库软件默认端口

(2)限制远程访问数据库

(3)数据库管理密码不要使用弱口令

(4)及时更新数据库管理软件补丁

(5)及时备份数据库

请各单位加强排查,做好防范应对,重要情况及时联系网络信息中心。

网络信息中心

                                        2018-9-6