GlobeImposter 2.0勒索病毒预警


事件描述:

近日,一类名为GlobeImposter勒索病毒及其变种在我国广泛传播,此次勒索病毒变种繁多,被加密后的文件扩展名也各不相同,包括.crypted!、.doc和.TRUE等。GlobeImposter勒索病毒主要是通过垃圾邮件进行传播,与以往不同的是,此次变种会通过邮件来告知受害者付款方式,勒索赎金从1到10比特币不等,河南省教育信息安全监测中心根据目前掌握到的情况发布了高危预警,望用户周知。


易攻击目标:

本次攻击者主要的突破边界手段可能为Windows远程桌面服务密码暴力破解,在进入内网后会进行多种方法获取登陆凭据并在内网横向传播。

综上,符合以下特征的机构将更容易遭到攻击者的侵害:

1. 存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。

2. 内网Windows终端、服务器使用相同或者少数几组口令。

3. Windows服务器、终端未部署或未及时更新安全加固和杀毒软件。


处置建议:

(1)避免弱口令,系统登录密码尽量采用字母大小写+数字+特殊符号混合组成,且密码位数应足够长,并在登陆安全策略里限制登录失败次数,定期更换系统登录密码。

(2)多台机器不要使用相同或相似的系统登录密码。

(3)重要资料定期隔离备份。

(4)及时更新系统漏洞并修复,更新Flash、Java、以及一系列Web服务程序的安全漏洞补丁。

(5)设置共享文件夹的权限为只读。

(6)如非必要,尽量关闭3389、445、139、135等不常用的高危端口,禁用Office宏。

(7)不要点击来源不明的网页链接,不要下载和打开来源不明的邮箱附件。

(8) SQL server和Oracle数据库密码设置复杂化,并修改默认的端口。


相关链接:

http://blog.topsec.com.cn/

https://baike.baidu.com/item/GlobeImposter%202.0/22406205?fr=aladdin