關(guān)于防范勒索病毒傳播的預(yù)警通知

各位尊敬的客戶：

近期，很多單位遭受到勒索病毒的攻擊，該勒索病毒會利用感染的服務(wù)器在網(wǎng)絡(luò)內(nèi)進行自動傳播，危害極大，個別服務(wù)器已被加密勒索且無法恢復。為保障客戶網(wǎng)絡(luò)安全，現(xiàn)提醒各位客戶做好如下工作：
一、病毒分析
       根據(jù)樣本分析為GlobeImposter 勒索病毒，主要攻擊windows操作系統(tǒng)，主要是開啟遠程桌面服務(wù)的服務(wù)器，攻擊者通過暴力破解服務(wù)器密碼，對內(nèi)網(wǎng)服務(wù)器發(fā)起掃描并人工投放病毒加密文件進行勒索，多家單位被入侵，致使相關(guān)系統(tǒng)癱瘓，用戶無法正常辦理業(yè)務(wù)。

      攻擊方式：

      1.GlobeImposter攻擊者大多利用弱口令漏洞、系統(tǒng)漏洞等方式獲得遠程登錄用戶名和密碼，之后通過 RDP（遠程桌面協(xié)議）遠程登錄目標服務(wù)器并運行勒索病毒程序�！� 黑客” 一旦能夠成功登錄服務(wù)器，就可以在服務(wù)器上為所欲為。即使服務(wù)器上安裝了安全軟件，也有可能會被黑客第一時間手動退出，以便于后續(xù)投毒勒索。

      2.不排除數(shù)據(jù)庫漏洞、業(yè)務(wù)漏洞、U盤感染、匿名郵件、不安全wifi等的可能性。

二、針對該勒索病毒具體的防范建議

各單位要高度重視，認真開展風險排查與漏洞修復。 

特別提醒：目前遭受勒索病毒加密的文件無法修復，數(shù)據(jù)備份是行之有效的預(yù)防措施。（每天將數(shù)據(jù)庫做一個異地備份，或備份在移動硬件上，備份完一定拔掉移動硬盤）

     1.檢查和關(guān)閉非必要的遠程桌面服務(wù)，因業(yè)務(wù)維護需要的遠程桌面服務(wù)接收后應(yīng)該及時關(guān)閉相關(guān)服務(wù)

     2.檢查服務(wù)器文件是否正常，如服務(wù)器出現(xiàn)異常，聯(lián)系專業(yè)的安全團隊處理。

     3.避免將遠程桌面服務(wù)（ RDP，默認端口為 3389）暴露在公網(wǎng)上，并關(guān)閉445、139、 135 等不必要的端口。
     4.將服務(wù)器密碼修改為高強度的復雜密碼。

     5.檢查服務(wù)器和數(shù)據(jù)庫漏洞。

     6.使用針對性的防勒索軟件做全面的防勒索安全防護。

     7.嚴格執(zhí)行內(nèi)外網(wǎng)隔離制度

三、感染后的應(yīng)對措施
當我們已經(jīng)確認感染勒索病毒后，應(yīng)當及時采取必要的自救措施。之所以要進行自救，主要是因為：等待專業(yè)人員的救助往往需要一定的時間，采取必要的自救措施，可以減少等待過程中，損失的進一步擴大。例如：與被感染主機相連的其他服務(wù)器也存在漏洞或是有缺陷，將有可能也被感染。所以，采取自救措施的目的是為了及時止損，將損失降到最低。

      1.正確處置方法
      1) 隔離中招主機
當確認服務(wù)器已經(jīng)被感染勒索病毒后，應(yīng)立即隔離被感染主機。

      2) 排查業(yè)務(wù)系統(tǒng)
在已經(jīng)隔離被感染主機后，應(yīng)對局域網(wǎng)內(nèi)的其他機器進行排查，檢查核心業(yè)務(wù)系統(tǒng)是否受到影響，生產(chǎn)線是否受到影響，并檢查備份系統(tǒng)是否被加密等，以確定感染的范圍。另外，備份系統(tǒng)如果是安全的，就可以避免支付贖金，順利的恢復文件。所以，當確認服務(wù)器已經(jīng)被感染勒索病毒后，并確認已經(jīng)隔離被感染主機的情況下，應(yīng)立即對核心業(yè)務(wù)系統(tǒng)和備份系統(tǒng)進行排查。

      2.錯誤的處置方法
      1) 使用移動存儲設(shè)備
當確認服務(wù)器已經(jīng)被感染勒索病毒后，在中毒電腦上使用 U 盤、移動硬盤等
移動存儲設(shè)備。當電腦感染病毒時，病毒也可能通過 U 盤等移動存儲介質(zhì)進行傳播。所以，當確認服務(wù)器已經(jīng)被感染勒索病毒后，切勿在中毒電腦上使用 U 盤、移動硬盤等設(shè)備。
      2) 讀寫中毒主機上的磁盤文件
當確認服務(wù)器已經(jīng)被感染勒索病毒后，反復讀取磁盤上的文件可能會而降低數(shù)據(jù)正確恢復的概率。

上海匯尼信息科技有限公司

2020.9.11