关于防范勒索病毒传播的预警通知
各地、各单位:
近期,我市部分医疗单位遭受到勒索病毒的攻击,该勒索病毒会利用感染的服务器在网络内进行自动传播,危害极大,个别服务器已被加密勒索且无法恢复。为保障我市卫生健康网络安全,现将相关事项通知如下。
一、病毒分析
根据样本分析为GlobeImposter 勒索病毒,主要攻击windows操作系统,主要是开启远程桌面服务的服务器,攻击者通过暴力破解服务器密码,对内网服务器发起扫描并人工投放病毒加密文件进行勒索,多家医院被入侵, 致使医院系统瘫痪,患者无法正常接受治疗。
攻击方式:
1.GlobeImposter攻击者大多利用弱口令漏洞、系统漏洞等方式获得远程登录用户名和密码,之后通过 RDP(远程桌面协议)远程登录目标服务器并运行勒索病毒程序。 “ 黑客” 一旦能够成功登录服务器,就可以在服务器上为所欲为。即使服务器上安装了安全软件,也有可能会被黑客第一时间手动退出,以便于后续投毒勒索。
2.不排除数据库漏洞、业务漏洞、U盘感染的可能性。
二、针对该勒索病毒具体的防范建议
各单位要高度重视,认真开展风险排查与漏洞修复。
特别提醒:目前遭受勒索病毒加密的文件无法修复,数据备份是行之有效的预防措施。
1.检查和关闭非必要的远程桌面服务,因业务维护需要的远程桌面服务接收后应该及时关闭相关服务
2.检查服务器文件是否正常, 如服务器出现异常,联系专业的安全团队处理。
3.避免将远程桌面服务( RDP,默认端口为 3389)暴露在公网上,并关闭445、139、 135 等不必要的端口。
4.将服务器密码修改为高强度的复杂密码。
5.检查服务器和数据库漏洞。
6.使用针对性的防勒索软件做全面的防勒索安全防护。
7.严格执行内外网隔离制度
三、感染后的应对措施
当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。例如:与被感染主机相连的其他服务器也存在漏洞或是有缺陷,将有可能也被感染。所以,采取自救措施的目的是为了及时止损,将损失降到最低。
1 正确处置方法
1) 隔离中招主机
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机。
2) 排查业务系统
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。
2.错误的处置方法
1) 使用移动存储设备
当确认服务器已经被感染勒索病毒后,在中毒电脑上使用 U 盘、移动硬盘等
移动存储设备。当电脑感染病毒时,病毒也可能通过 U 盘等移动存储介质进行传播。所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用 U 盘、
移动硬盘等设备。
2) 读写中毒主机上的磁盘文件
当确认服务器已经被感染勒索病毒后,反复读取磁盘上的文件可能会而降低
数据正确恢复的概率