↑ 点击上方“安全狗”关注我们
Globelmposter家族首次出现在2017年5月份,2018年2月全国各大医院受Globelmposter2.0勒索病毒攻击,导致医院系统被加密,严重影响了医院的正常业务。此勒索病毒此前还变种出Globelmposter3.0版本,导致多家等政企单位重要文件被勒索加密。
近日该病毒家族的最新版本又出现大规模爆发,目前,已有多家企业中招,危害巨大。新的病毒将文件加密后,其文件后缀为.auchentoshan,并生成how_to_open_files.html的超文本文件信息。针对Globelmposter病毒家族,安全狗此前做过多期分析和预警,详情可参阅
【安全研究】GlobeImposter 3.0勒索病毒分析报告
1、紧急处置方案
(1)避免弱口令,系统登录密码尽量采用字母大小写+数字+特殊符号混合组成,且密码位数应足够长,并在登陆安全策略里限制登录失败次数,定期更换系统登录密码。
(2)多台机器不要使用相同或相似的系统登录密码。
(3)重要资料定期隔离备份。
(4)及时更新系统漏洞并修复,更新Flash、Java、以及一系列Web服务程序的安全漏洞补丁。
(5)设置共享文件夹的权限为只读。
(6)如非必要,尽量关闭3389、445、139、135等不常用的高危端口,禁用Office宏。
(7)不要点击来源不明的网页链接,不要下载和打开来源不明的邮箱附件。
(8) SQL server和Oracle数据库密码设置复杂化,并修改默认的端口。
2、安全狗专有解决方案
由于市面上所有的杀毒软件、反病毒软件、专杀工具,基本都不是被设计用来解密被勒索的文档而仅仅是用来移除病毒及其残留的木马的,针对已经出现被勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。我们在此提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。
①病毒检测查杀
安全狗服务器EDR产品云眼具备较强的病毒检测能力,部署云垒产品体系用户可通过云眼进行病毒检测。
②RDP爆破防护
由于本次勒索病毒很可能是利用RDP暴破植入的,可以通过云眼设置RDP防暴破策略。
③端口防御策略
针对Windows用户,建议不要使用默认3389端口,改为其他端口用于远程连接,降低被攻击者暴破的概率。
为确保用户能及时有效地清除病毒,用户可以通过以下联系方式获取专项清除方案以及必要的人工协助。
您可以发邮件至:hq_lab@safedog.cn
或拨打热线:400-1000-221
我们将尽最大的努力为您免除安全威胁的困扰!
往期精彩文章:
【云安全】再获公安部权威认证!安全狗获颁云计算产品信息安全和CSA CSTR双证书
【企业动态】“云舟”共济,安全狗推出了这个前景无限的合作伙伴计划
【企业动态】再获国家级资质!安全狗被授予CNNVD技术组支撑单位奖牌
【企业动态】“凭云鼓浪·论道安全”云安全高峰论坛圆满结束,精彩内容先睹为快!
【解决方案】安全狗发布explorer一键挖矿病毒专项清除方案
【企业动态】2018中国网络安全年会:安全狗CEO陈奋深度解读EDR
【企业动态】青岛公安致谢安全狗:上合峰会网络安保这场硬仗,打得漂亮!
