148
关于应对GlobeImposter勒索病毒的通知  

各辖市(区)信安办,各有关单位:

我市两家工业企业分别在2018年11月28日和2018年12月24日遭受 GlobeImposter勒索病毒攻击,业务相关的重要文件和数据被加密导致业务受到严重影响。本次攻击与普通勒索事件的首要区别在于攻击者在突破防护边界后手工进行内网渗透,绕过安全防护,并释放勒索恶意代码,具有极强的破坏性及针对性。

该病毒主要是通过弱口令爆破后利用3389远程登录,黑客使用自动化攻击脚本,用密码字典暴力破解管理员账号。如果系统管理员的密码设置比较简单,黑客入侵服务器后一般会创建个“后门”账号实施秘密控制,伺机卸载服务器上的杀毒软件并植入勒索病毒。

目前暂未找到该病毒的解密方法,各单位应高度重视,及时采取应对措施。

影响范围:

符合以下特征的机构将更容易遭到攻击者的侵害:

1. 存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。

2. 内网Windows终端、使用相同或者少数几组口令的服务器。

3. Windows服务器、未部署或未及时更新杀毒软件的终端。

处置建议:

1. 所有服务器、终端应强行实施复杂密码策略,杜绝弱口令。

2. 杜绝使用通用密码管理所有机器。

3. 安装杀毒软件、终端安全管理软件并及时更新病毒库。

4. 及时安装漏洞补丁。

5. 服务器开启关键日志收集功能,为安全事件的追踪溯源提供基础。

6. 应用系统层面,需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控。

7. 对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性。

8. 建立安全灾备预案,一旦核心系统遭受攻击,需要确保备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,避免主系统和备份系统同时被攻击,影响业务连续性。

9. 可使用以下工具进行检测:

http://dl.b.360.cn/tools/FocusTool.exe 


来 源: 常州市经信委信息资源与安全处
 
发布时间:2019-01-03