<menu id="ulyfu"></menu>

  • <u id="ulyfu"></u>

    1. <ol id="ulyfu"></ol>
  • 天融信關于勒索病毒 GlobeImposter 最新變種的預警通告
    時間:2018-08-23來源:點擊:6835分享:
    近日,部分單位內部網絡受到勒索病毒攻擊,經確認是“GlobeImposter”勒索病毒的最新變種,該勒索病毒采用高強度加密方式加密用戶文件。

    1.背景介紹

    近日,部分單位內部網絡受到勒索病毒攻擊,經確認是“GlobeImposter”勒索病毒的最新變種,該勒索病毒采用高強度加密方式加密用戶文件。

    攻擊者在進入內網后,利用黑客工具進行內網滲透并選擇高價值目標服務器進行人工投放勒索病毒。為防止其它單位受到該勒索病毒的攻擊,需積極應對。

    1.1病毒情況描述

    本次爆發的勒索病毒,它會使用高強度加密方式加密磁盤文件并將后綴名篡改為.Techno、.DOC、.CHAK、.FREEMAN、.TRUE 等。現已確認,在沒有病毒作者私鑰的情況下無法恢復被加密的文件。

    最終該病毒將引導受害者通過郵件與勒索者進行聯系,要求受害者將被加密的圖片或文檔發送到指定的郵箱進行付費解密。

    01.jpg

    1.2風險等級

    風險等級:高

    2.解決方案

    2.1天融信解決方案

    2.1.1通過天融信EDR終端威脅防御系統應急處理

    安裝天融信EDR進行病毒查殺與防御,企業版與單機版均可實現勒索病毒的應急防護。

    單機互聯網版下載地址(下載后需要更新病毒庫)

    http://edr.topsec.com.cn

    單機離線版下載地址

    ftp://ftp.topsec.com.cn/終端威脅防御系統(TOPAV)/單機版

    企業版

    企業版可以聯系天融信當地銷售、技術或者天融信官方客服電話咨詢,咨詢電話:400 610 5119、800 810 5119。

    安裝后建議開啟勒索病毒誘捕功能,對未知勒索病毒進行防御:

    2.1. 2通過天融信防火墻、UTM設備進行防御

    通過在設備上配置阻斷策略來禁止445和3389端口的通信,具體方法如下:

    1.添加策略:

    點擊“防火墻”—“阻斷策略”在阻斷策略頁簽中點擊“添加”,如下圖所示:

    2.編輯策略內容:

    訪問權限為“拒絕”、協議類型為“IP”、IP協議類型為“TCP”、源地址和目的地址為“any”、目的端口為“445”,填寫好后點擊“確定”。如下圖所示:

    根據上述方法同樣的添加一條禁止目的端口為3389的訪問策略。

    3.添加完成后的效果:

    2.2通過主機安全配置

    1. 開啟Windows 防火墻,阻止 445、3389 端口。必須要通過 RDP 管理的主機,建議更換 RDP 服務端口號。

    2. 檢查并修改計算機上的弱密碼。

    3.下面是關閉3389、445、139、135等端口的方法。

    第一步, 點擊“開始”菜單/設置/控制面板/管理工具,雙擊打開“本地安全策略”,選中“IP安全策略,在本地計算機”,在右邊窗格的空白位置右擊鼠標,彈出快捷菜單,選擇“創建IP安全策略”(如下圖),于是彈出一個向導。在向導中點擊“下一步”按鈕,為新的安全策略命名;再按“下一步”,則顯示“安全通信請求”畫面,在畫面上把“激活默認相應規則”左邊的鉤去掉,點擊“完成”按鈕就創建了一個新的IP 安全策略。

    第二步,右擊該IP安全策略,在“屬性”對話框中,把“使用添加向導”左邊的鉤去掉,然后單擊“添加”按鈕添加新的規則,隨后彈出“新規則屬性”對話框,在畫面上點擊“添加”按鈕,彈出IP篩選器列表窗口;在列表中,首先把“使用添加向導”左邊的鉤去掉,然后再點擊右邊的“添加”按鈕添加新的篩選器。

    第三步,進入“篩選器屬性”對話框,首先看到的是尋址,源地址選“任何 IP 地址”,目標地址選“我的 IP地址”;點擊“協議”選項卡,在“選擇協議類型”的下拉列表中選擇“TCP”,然后在“到此端口”下的文本框中輸入“135”,點擊“確定”按鈕(如上圖),這樣就添加了一個屏蔽 TCP 135(RPC)端口的篩選器,它可以防止外界通過135端口連上你的電腦。點擊“確定”后回到篩選器列表的對話框,可以看到已經添加了一條策略,重復以上步驟繼續添加 TCP 137、139、445、593 端口和UDP 135、139、445 端口,為它們建立相應的篩選器。重復以上步驟添加TCP 1025、2745、3127、6129、3389端口的屏蔽策略,建立好上述端口的篩選器,最后點擊“確定”按鈕。

    第四步,在“新規則屬性”對話框中,選擇“新 IP篩選器列表”,可查看已激活的篩選器,然后點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中,把“使用添加向導”左邊的鉤去掉,點擊“添加”按鈕,添加“阻止”操作(下圖):在“新篩選器操作屬性”的“安全措施”選項卡中,選擇“阻止”,然后點擊“確定”按鈕。

    第五步,進入“新規則屬性”對話框,點擊“新篩選器操作”,選中“阻止”篩選器,點擊“關閉”按鈕,關閉對話框;最后回到“新IP安全策略屬性”對話框,在“新的IP篩選器列表”左邊打鉤,按“確定”按鈕關閉對話框。在“本地安全策略”窗口,用鼠標右擊新添加的 IP 安全策略,然后選擇“分配”。


    2.3其他排查方案

    2.3.1服務器終端排查

    1. 強制使用高強度密碼策略;
    2. 針對不同機器,選用不同的管理密碼;
    3. 開啟系統安全更新,及時安裝安全漏洞補丁;
    4. 建議服務器終端開啟日志記錄功能,為追蹤溯源提供基礎。

    2.3.2 網絡層面防護建議

    1.建議更換 RDP 服務端口號,在核心交換機或防火墻上,阻止默認RDP端口(3389)的流量。
    2. 排查可能存在的內外網連通點,配置防火墻策略進行安全隔離。

    3.天融信技術支持熱線

    天融信公司后續將積極為用戶提供技術支持,進行持續跟蹤并及時通報進展。

    獲取支持聯系方式如下:
    1.直接撥打400-610-5119電話聯系當地技術支持團隊獲得支持。
    2.座機撥打800-810-5119電話獲取總部技術支持。

    QUICK CONTACT
    快捷通道
    產品中心
    解決方案
    安全研究
    技術支持
    關于我們
    yahoo japan 日本护士