一、基本情况
近期,多家技术机构监测发现,利用GlobeImposter勒索病毒发起的攻击呈上升趋势。目前已有党政机关业务系统感染GlobeImposter勒索病毒,导致数据被加密,业务中断。此次GlobeImposter勒索病毒攻击的主要方式是暴力破解RDP远程登录密码后,再进一步在内网横向渗透。与近期其他版本勒索病毒主要针对服务器以及数据库文件加密不同,此次爆发的GlobeImposter勒索病毒并不区分被入侵机器是否为服务器,一旦入侵成功后直接感染。
二、影响和危害
GlobeImposter勒索病毒感染安装有Windows系统的电脑主机后,会加密Windows系统中的磁盘文件,且更改被加密文件的后缀名。GlobeImposter勒索病毒采用了RSA2048高强度加密方式,目前尚未发现有效的破解方法和破解工具。
三、建议应对措施
对于尚未感染GlobeImposter勒索病毒的系统,要提前备份关键业务系统,避免遭遇勒索病毒破坏之后业务系统出现严重损失。对于已经感染该病毒的系统,建议在内网下线处理,病毒清理完毕后再重新接入网络。对于内网中其他未中毒的电脑,建议使用由数字和特殊字符组合的复杂密码,避免攻击者暴力破解成功。同时,及时修复操作系统补丁,避免因漏洞导致攻击入侵事件发生。终端用户若不使用远程桌面登录服务,建议关闭。局域网内已发生勒索病毒入侵的,可暂时关闭135、139、445端口(暂时禁用Server服务),以减少远程入侵的可能。
四、应对措施详细操作方法
●高强度系统密码设置
1.高强度密码:8位以上,采用大写字母+小写小写+数字+符号(举例:HanL936582@!#¥@)
2.不要使用弱口令密码:顾名思义弱口令就是没有严格和准确的定义,通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令(举例:123456;abcdefg;admin)
3.定期更换密码:正常系统登录口令需要在3-6个月之内更换一次密码;另外如果组织内有多个服务器一定不要使用相同的密码,这样如果一台服务器沦陷其他服务器也会中毒
4.尽量不要开启DMZ主机或桌面映射功能,避免电脑IP爆漏在公网。
●系统组策略限制登录次数
1.win+r打开运行,输入gpedit.msc,打开组策略
2.计算机设置---Windows设置---安全设置---账户策略---账户锁定策略”,然后到右侧窗格中的“账户锁定阈值”项,这里可以设置用户账户被锁定的登录尝试失败的次数,该值在0到999之间,默认为0表示登录次数不受限制,我们可以改为3或10。(设置完成后,还可以设置账户锁定的时间)
3.修改后需要注意:当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该账户锁定,在账户锁定期满之前,该用户将不可使用,除非管理员手动解除锁定。
●关闭系统中不必要的端口
1.首先鼠标右键任务栏“网络连接”图标,选择“打开网络和共享中心”在网络和共享中心中点击左下角“Windows防火墙”
2.在Windows防火墙中点击“高级设置”,点击左上角“入站规则”,然后再选右上角新建规则,然后规则类型点击端口,选择下一步
3.在“特定本地端口”中输入“445”,点击进入下一步, 然后在操作中选择“阻止连接”,点击进入下一步;然后点击完成至此即完成了对445端口的关闭,同样其他端口也可以使用相同的方法禁用
