English

狙擊Globelmposter3.0勒索病毒,安視交換機鑄防禦基石!

2019-03-13

近日,部分醫療單位內部網絡受到勒索病毒攻擊,經確認是“GlobeImposter”勒索病毒的最新變種3.0,該勒索病毒採用RSA+AES方式加密用戶文件,將文件後綴改爲以*.4444結尾,並要求用戶通過郵件溝通贖金和密鑰。


勒索病毒作爲一種新型電腦病毒,主要以系統漏洞、程序木馬、網頁掛馬的形式進行傳播。Globelmposter 勒索病毒首次出現在2017年5月,2018年2月全國各大醫院相繼遭受Globelmposter2.0 勒索病毒攻擊,導致醫院系統被加密,嚴重影響了醫院的正常業務。而後變種出Globelmposter3.0版本,又導致全國多家法院等政企事業單位被勒索加密。


安全防禦體系現狀


基礎安全體制薄弱,執行不嚴格:部分醫療用戶雖然部署了一定數量的安全設備,但放鬆了對內網終端及服務器的安全管理。大量不必要的高危端口開放,簡單重複的弱口令導致服務器安全防禦體系形同虛設。


缺乏全過程的安全保護體系:在勒索病毒爆發前沒有預防手段、爆發中沒有防禦措施、爆發後沒有及時檢測和解決問題的辦法。


過於複雜的安全體系:過於複雜的體系,使得安全策略並沒有及時修改,安全規則庫並沒有及時更新,也缺乏及時獲取到安全事件信息的能力等。


監測預警能力的缺失:缺乏統一有效的網絡異常事件監控手段及動態的全網風險感知手段。


Globelmposter勒索病毒防範

▼對於已感染的主機

建議迅速下線中毒主機,可直接切斷網絡連接,例如拔掉網線。


▼對於尚未感染的主機,可以採取以下解決方案

推薦使用信銳安視交換機+深信服SIP態勢感知聯動解決方案。


◆信銳安視交換機東西向流量控制,防禦終端病毒擴散

東西向端口訪問控制:統一控制器平臺關閉終端不必要的端口服務,通過部署安視交換機創建東西向安全策略,實現全網安全風險攔截;


1552894452418.jpg


內網安全攻擊顯示:病毒在傳播時都會進行端口掃描發現攻擊對象,可以分析出進行端口掃描的終端設備。


1552894463160.jpg


信銳安視交換機聯動SIP態勢感知平臺,打造縱深立體安全閉環


內網雙重安全抓手:深信服態勢感知進行整網安全分析,終端資產安全風險大屏可視;在接入邊緣聯動安視交換機阻隔風險終端。


1552894481278.jpg


縱深立體安全防護閉環:更全面的邊-端縱深立體融合安全防禦;更有效的“雙探針”組合拳,發現攻擊源並且快速幹掉。


1552894492323.jpg


另外給大家一些普遍性防範勒索病毒建議:

1.關閉高危端口

關閉3389、445、135、137等高風險端口,針對需要開啓遠程桌面連接的計算機,通過修改遠程桌面端口方式規避3389端口風險。


2.安裝補丁和殺毒軟件

及時爲計算機安裝最新的安全補丁;安裝具有正式授權的最新商業殺毒軟件,並使用勒索病毒免疫工具對服務器進行免疫。


3.重要數據備份

將服務器中的重要文件資料等做好硬盤備份或雲備份,備份完後脫機保存備份硬盤,並定期檢查備份文件的可用性。


4.強化網絡安全意識

週期性檢查網絡設備及安全防護設備日誌,不明鏈接不要點擊,不明文件不要下載,不明郵件不要打開。

注:Globelmposter3.0是勒索病毒變種,處置方法與勒索病毒可通用。


信銳爲用戶提供從諮詢到運維的全生命週期專業服務,協助客戶實現網絡安全一站式交付,以用戶爲中心,風險共擔,保障用戶的網絡安全。

返回頂部
隱藏或顯示