知識 - 安全界的洪水猛獸, GlobeImposter3.0 勒索病毒攻擊預警

2019-08-14 16:57:03

知識 | 安全界的洪水猛獸, GlobeImposter3.0 勒索病毒攻擊預警

緊急預警

據國家網路與信息安全信息通報中心監測發現,Globelmposter勒索病毒3.0變種在我國個別省市醫院爆發。近日,又發現Globelmposter勒索病毒3.0變種再次席卷全國各級公立、民營醫院,受影響的電腦系統,存儲介質上的檔,包括客戶資料庫都被惡意加密破壞,損失慘重。

 

病毒分析

病毒名稱Globelmposter3.0變種

病毒性質:勒索病毒

影響范圍:多省份出現醫院大規模爆發,有全國爆發趨勢

危害等級:高危

該病毒將加密后的檔重命名為.Ox4444擴展名或變種,一旦感染該勒索病毒,電腦系統的資料庫檔將被病毒加密,須支付勒索資金才能恢復檔,勒索金額高達數萬美金

由于Globelmposter采用RSA+AES演算法加密,目前該勒索樣本加密的檔暫無解密工具,檔被加密后會被加上Ox4444尾碼。在被加密的目錄下會生成一個名為“HOW_TO_BACK_FILES”的txt檔,顯示受害者的個人ID序列號以及駭客的聯系方式等。

宏脈軟件 

1 來源于網路

Globelmposter勒索病毒攻擊步驟

 

第一步:對服務器進行滲透,黑客通過弱口令爆破、端口掃描等攻擊手法,利用3389等遠程登錄開放端口,使用自動化攻擊腳本,用密碼字典暴力破解管理員帳號。

第二步:對內網其他機器進行滲透,攻擊者在打開內網突破口后,會在內網對其他主機進行口令爆破,利用網路嗅探、多協議爆破等工具實施爆破。

第三步:植入勒索病毒,在內網橫向移動至一臺新的主機后,會嘗試進行手動或用工具卸載主機上安裝的防護軟體,手動植入勒索病毒。

第四步:運行病毒,病毒自動執行程式,對電腦內檔進行加密,完成病毒攻擊過程。

 

 

◆◆應急方案◆◆

 

1、隔離感染主機

迅速隔離中毒主機,關閉所有網路連接,禁用網卡,可直接拔網線斷網。

2、建議不要支付贖金,支付贖金并不能保證可以得到所需的解鎖密鑰。

 

 

◆◆防范措施◆◆

 

1、不打開不明來歷的郵件、網頁、檔。

2、禁用共用、遠程終端,如44513513933891433等端口。

勒索病毒的傳播途徑主要是垃圾郵件,以及通過滲透掃描、遠程桌面等方式遠程植入。

醫院咨詢師特別要高度警惕黑客假扮求美顧客發送含有病毒的圖片或誘導醫院咨詢師點擊含有病毒的鏈接。

3、及時加強終端、服務器防護。

所有服務器、終端應強行實施復雜密碼策略,杜絕弱口令;杜絕使用通用密碼管理所有機器;安裝殺毒軟體、終端安全管理軟體并及時更新病毒庫;及時安裝漏洞補丁。

4、合理劃分內網安全域。

重要業務系統及核心資料庫應當設置獨立的安全區域并做好區域邊界的安全防御,嚴格限制重要區域的訪問許可權。

5、強化業務數據備份。

對業務系統及資料庫檔進行及時本地備份和異地備份,并驗證備份系統及備份數據的可用性。 


宏脈系統助您提高安全防范

宏脈醫美經營管理系統最新版本采用的是第三代核心數據加密的信息化立體經營管理體系——CS/BS混合架構+云計算模式。

· 

應用最新的資料庫加密技術,以及通訊加密處理方式。

· 

· 

每個醫院資料庫擁有獨立的數據密碼,互相不通用,能保證醫院的數據安全。

· 

· 

支持獨立的服務器部署及混合云部署兩種方式。

· 

· 

實現自動本地、異地、云備份(需要自行購買云存儲空間)

· 

· 

對醫院人員許可權進行控制保證數據安全。

· 

宏脈軟件 

2 宏脈CS/BS混合架構+云計算模式的醫院信息系統

 

如何防護勒索病毒

本質是“五條”關鍵性操作

l 服務器操作系統更新到windows 2012 server并及時更新系統補丁。

重要數據要定期并及時備份(分主機備份及云備份)。

l 服務器不要對外映射3389端口,遠程點用戶要單獨部署遠程點伺服器,且伺服器不允許有弱密碼(簡單的密碼組合)情況。如確實需要做遠程桌面管理,必須更改默認端口號及設置遠程桌面訪問白名單。

l 服務器把資料庫的1433端口改為其他端口,建立其他用戶來使用系統,禁用sa用戶。

 

l 服務器一定要安裝安全防護軟體,來確保服務器的安全性。

 

宏脈堅持把客戶的需求放在首位,讓客戶使用宏脈產品時能用的放心和用的安心。客戶的需要,我們有責任滿足。精湛的品質,合理的價格,優質的服務,是我們對客戶的承諾,如需幫助請致電020-38805038

 

 


電話咨詢
產品中心
案例展示
售后客服
登陆好运来彩票