近日,一種新型勒索病毒-GlobeImposter在網(wǎng)上傳播,一旦感染該勒索病毒,網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)庫文件將被病毒加密,只有支付贖金才能恢復(fù)文件。據(jù)媒體報道,湖北襄陽南漳縣人民醫(yī)院、湖南省兒童醫(yī)院信息系統(tǒng)分別于近期遭受黑客攻擊,醫(yī)院服務(wù)器疑感染GlobeImposter勒索病毒,導(dǎo)致醫(yī)院診療系統(tǒng)大面積癱瘓,掛號、收費(fèi)、診療等業(yè)務(wù)均無法正常運(yùn)轉(zhuǎn)。
血的教訓(xùn):一用戶中了勒索病毒后,用友程序和數(shù)據(jù)被加密!
究竟什么是GlobeImposter勒索病毒?它以什么形式攻擊,我們又該如何預(yù)防呢?別急,接著往下看!
GlobeImposter勒索病毒的危害
GlobeImposter是目前流行的一類勒索病毒,它會加密磁盤文件并篡改后綴名為.Techno、.DOC、.CHAK、.FREEMAN、.TRUE等形式。由于其采用高強(qiáng)度非對稱加密方式,受害者在沒有私鑰的情況下無法恢復(fù)文件,如需恢復(fù)重要資料只能被迫支付贖金GlobeImposter勒索病毒攻擊相對普通的勒索病毒首要區(qū)別在于:該病毒不具備主動傳播性,是由黑客滲透進(jìn)入內(nèi)網(wǎng)后,在目標(biāo)主機(jī)上人工植入,該病毒具有極強(qiáng)的破壞性和針對性,目前很難被破解。
GlobeImposter勒索病毒的攻擊手法
經(jīng)分析,該病毒的主要攻擊步驟如下:第一步對服務(wù)器進(jìn)行滲透,黑客通過弱口令爆破、端口掃描等攻擊手法,利用3389等遠(yuǎn)程登陸開放端口,使用自動化攻擊腳本,用密碼字典暴力破解管理員賬號。第二步對內(nèi)網(wǎng)其他機(jī)器進(jìn)行滲透,攻擊者在打開內(nèi)網(wǎng)突破口后,會在內(nèi)網(wǎng)對其他主機(jī)進(jìn)行口令爆破,利用網(wǎng)絡(luò)嗅探、多協(xié)議爆破等工具實施爆破。第三步植入勒索病毒,在內(nèi)網(wǎng)橫向移動至一臺新的主機(jī)后,會嘗試進(jìn)行手動或用工具卸載主機(jī)上安裝的防護(hù)軟件,手動植入勒索病毒。第四步運(yùn)行病毒,病毒自動執(zhí)行程序,對電腦內(nèi)文件進(jìn)行加密,完成病毒攻擊過程。
工作提示
經(jīng)安全專家分析,存在弱口令且Windows遠(yuǎn)程桌面服務(wù)(3389端口)暴露在互聯(lián)網(wǎng)上、未做好內(nèi)網(wǎng)安全隔離、Windows服務(wù)器、終端未部署或未及時更新殺毒軟件等漏洞和風(fēng)險的信息系統(tǒng)更容易遭受該病毒侵害。
針對此情況,安全專家提示如下:
一是及時加強(qiáng)終端、服務(wù)器防護(hù),所有服務(wù)器、終端應(yīng)強(qiáng)行實施復(fù)雜密碼策略,杜絕弱口令;安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫;及時安裝漏洞補(bǔ)丁;服務(wù)器開啟關(guān)鍵日志收集功能,為安全事件的追溯提供基礎(chǔ)。
二是嚴(yán)格控制端口管理,盡量關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口,如:445,135,139,3389;建議關(guān)閉遠(yuǎn)程桌面協(xié)議。
三是強(qiáng)化業(yè)務(wù)數(shù)據(jù)備份,對業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進(jìn)行及時備份,并驗證備份系統(tǒng)及備份數(shù)據(jù)的可用性;建立安全災(zāi)備預(yù)案,同時,做好備份系統(tǒng)與主系統(tǒng)的安全隔離,避免主系統(tǒng)和備份系統(tǒng)同時被攻擊,影響業(yè)務(wù)連續(xù)性。
重要事情說三遍,數(shù)據(jù)備份很重要,切記多處備份重要數(shù)據(jù)!中勒索病毒,一點數(shù)據(jù)都恢復(fù)不了!
關(guān)注
微信
關(guān)注博聶科官方微信
