GlobeImposter 勒索病毒应急预案

发布者:系统管理员发布时间:2019-04-03浏览次数:11

   病毒概述 

甘肃省多家医院于 2019 年 3 月 10 日遭受勒索病毒 GlobeImposter 攻击,经过天融信 EDR 安 全专家取证分析发现,该勒索病毒通过 RDP 远程桌面登录服务器定向爆破投递,然后将加 密文件成*.snake4444 后缀,释放勒索文本信息,要求交付赎金解密,同时在内网利用其它 扫描工具进行横向扩散。 

     传播方式 

1)黑客使用暴力破解攻击通过 RDP 暴力破解,远程登录 windows 桌面投递。 

2)内网通过扫描工具横向暴力破解 windows 远程桌面投递。 

     病毒影响 

1)加密用户文件,要求支付赎金解密文件。 

      应急措施 

1)通过外网防火墙关闭不必要的访问端口,如 3389、445、139、135 等端口。 

2)修改系统密码,提高系统密码复杂度,包括字母、数字、下划线等。 

3)已经感染单位,全网安装终端防病毒软件进行全网查杀,查找到感染病毒的机器进行隔 离处理。 

4)未感染单位,提前安装终端防病毒软件进行防护,及时打补丁、对系统进行加固、关闭 不必要的端口和服务。 

5)在终端防病毒软件上开启访问控制规则,严格控制 PC 之间的访问。