近日���,一種新型勒索病毒-GlobeImposter在網上傳播����,一旦感染該勒索病毒�����,網絡系統的數據庫文件將被病毒加密�����,只有支付贖金才能恢復文件���。據媒體報道�����,湖北襄陽南漳縣人民醫院�����、湖南省兒童醫院信息系統分別于近期遭受黑客攻擊,醫院服務器疑感染GlobeImposter勒索病毒,導致醫院診療系統大面積癱瘓,掛號、收費��、診療等業務均無法正常運轉。
血的教訓:一用戶中了勒索病毒后����,用友程序和數據被加密!
究竟什么是GlobeImposter勒索病毒���?它以什么形式攻擊�����,我們又該如何預防呢�?別急�����,接著往下看�����!
GlobeImposter勒索病毒的危害
GlobeImposter是目前流行的一類勒索病毒,它會加密磁盤文件并篡改后綴名為.Techno�、.DOC、.CHAK�����、.FREEMAN、.TRUE等形式�����。由于其采用高強度非對稱加密方式,受害者在沒有私鑰的情況下無法恢復文件��,如需恢復重要資料只能被迫支付贖金GlobeImposter勒索病毒攻擊相對普通的勒索病毒首要區別在于:該病毒不具備主動傳播性�,是由黑客滲透進入內網后,在目標主機上人工植入���,該病毒具有極強的破壞性和針對性,目前很難被破解�。
GlobeImposter勒索病毒的攻擊手法
經分析����,該病毒的主要攻擊步驟如下:第一步對服務器進行滲透��,黑客通過弱口令爆破����、端口掃描等攻擊手法����,利用3389等遠程登陸開放端口,使用自動化攻擊腳本,用密碼字典暴力破解管理員賬號。第二步對內網其他機器進行滲透���,攻擊者在打開內網突破口后���,會在內網對其他主機進行口令爆破��,利用網絡嗅探����、多協議爆破等工具實施爆破。第三步植入勒索病毒����,在內網橫向移動至一臺新的主機后�,會嘗試進行手動或用工具卸載主機上安裝的防護軟件,手動植入勒索病毒���。第四步運行病毒���,病毒自動執行程序��,對電腦內文件進行加密�����,完成病毒攻擊過程。
工作提示
經安全專家分析����,存在弱口令且Windows遠程桌面服務(3389端口)暴露在互聯網上�、未做好內網安全隔離�、Windows服務器、終端未部署或未及時更新殺毒軟件等漏洞和風險的信息系統更容易遭受該病毒侵害��。
針對此情況����,安全專家提示如下:
一是及時加強終端、服務器防護�,所有服務器�、終端應強行實施復雜密碼策略�,杜絕弱口令;安裝殺毒軟件���、終端安全管理軟件并及時更新病毒庫�����;及時安裝漏洞補??;服務器開啟關鍵日志收集功能,為安全事件的追溯提供基礎。
二是嚴格控制端口管理,盡量關閉不必要的文件共享權限以及關閉不必要的端口�����,如:445,135,139,3389����;建議關閉遠程桌面協議。
三是強化業務數據備份,對業務系統及數據進行及時備份�����,并驗證備份系統及備份數據的可用性;建立安全災備預案����,同時����,做好備份系統與主系統的安全隔離���,避免主系統和備份系統同時被攻擊����,影響業務連續性�。
重要事情說三遍,數據備份很重要,切記多處備份重要數據����!中勒索病毒�����,一點數據都恢復不了!
