1. <div id="zkwa0"></div>

    <dd id="zkwa0"><tr id="zkwa0"></tr></dd>
    <div id="zkwa0"><ol id="zkwa0"></ol></div>
    1. <div id="zkwa0"><tr id="zkwa0"><object id="zkwa0"></object></tr></div>
      <div id="zkwa0"><tr id="zkwa0"></tr></div>

    2. 天融信关于勒索病毒 GlobeImposter 最新变种的预警通告
      时间:2018-08-23来源:点击:2344分享:
      近日,部分单位内部网络受到勒索病毒攻击,经确认是“GlobeImposter”勒索病毒的最新变种,该勒索病毒采用高强度?#29992;?#26041;式?#29992;?#29992;户文件。

      1.背景介绍

      近日,部分单位内部网络受到勒索病毒攻击,经确认是“GlobeImposter”勒索病毒的最新变种,该勒索病毒采用高强度?#29992;?#26041;式?#29992;?#29992;户文件。

      攻击者在进入内网后,利用黑客工具进行内网渗透并选择高价?#30340;?#26631;服务器进行人工投放勒索病毒。为防止其它单位受到该勒索病毒的攻击,需积极应对。

      1.1病毒情况描述

      本次爆发的勒索病毒,它会使用高强度?#29992;?#26041;式?#29992;艽排?#25991;件并将后缀名篡改为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE 等。现已确认,在没有病毒作者私钥的情况下无法恢复被?#29992;?#30340;文件。

      最终该病毒将引导受害者通过邮件与勒索者进行联系,要求受害者将被?#29992;?#30340;?#35745;?#25110;文档发送到指定的邮箱进行付费解密。

      01.jpg

      1.2风险等级

      风险等级:高

      2.解决方案

      2.1天融信解决方案

      2.1.1通过天融信EDR终端威胁防御系统应急处理

      安装天融信EDR进行病毒查杀与防御,企业版与单机版均可实现勒索病毒的应急防护。

      单机互联网版下载地址(下载后需要更新病毒库)

      http://edr.topsec.com.cn

      单机离线版下载地址

      ftp://ftp.topsec.com.cn/终端威胁防御系统(TOPAV)/单机版

      企业版

      企业版可以联系天融信当地销售、技术或者天融信官方?#22836;?#30005;话咨询,咨询电话:400 610 5119、800 810 5119。

      安装后建议开启勒索病毒诱捕功能,对未知勒索病毒进行防御:

      2.1. 2通过天融信防火墙、UTM设备进行防御

      通过在设备上配?#31859;?#26029;策略来禁止445和3389端口的通信,具体方法如下:

      1.添加策略:

      点击“防火墙”—“阻断策略”在阻断策略页签中点击“添加?#20445;?#22914;下图所示:

      2.编辑策略内容:

      访问权限为“拒绝”、协议类型为“IP”、IP协议类型为“TCP”、源地址和目的地址为“any”、目的端口为“445?#20445;?#22635;写好后点击“确定”。如下图所示:

      根据上述方法同样的添加一条禁止目的端口为3389的访问策略。

      3.添加完成后的效果:

      2.2通过主机安全配置

      1. 开启Windows 防火墙,阻止 445、3389 端口。必须要通过 RDP 管理的主机,建议更换 RDP 服务端口号。

      2. 检查并修改计算机上的弱密码。

      3.下面是关闭3389、445、139、135等端口的方法。

      第一步, 点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略?#20445;?#36873;中“IP安全策略,在本地计算机?#20445;?#22312;右边?#26696;?#30340;空白位置右击鼠标,弹出快捷菜单,选择“创建IP安全策略?#20445;?#22914;下图),于是弹出一个向导。在向导中点击“下一?#20581;卑磁ィ?#20026;新的安全策略命名;再?#30784;?#19979;一?#20581;保?#21017;显示“安全通信请求?#34987;?#38754;,在画面上?#36873;?#28608;活默认相应规则”左边的钩去掉,点击“完成”?#30913;?#23601;创建了一个新的IP 安全策略。

      第二?#21073;?#21491;击该IP安全策略,在“属性”对话框中,?#36873;?#20351;用添加向导”左边的钩去掉,然后单击“添加”?#30913;?#28155;加新的规则,随后弹出“新规则属性”对话框,在画面?#31995;?#20987;“添加”?#30913;ィ?#24377;出IP筛选器列表窗口;在列表中,首先?#36873;?#20351;用添加向导”左边的钩去掉,然后再点击右边的“添加”?#30913;?#28155;加新的筛选器。

      第三?#21073;?#36827;入?#21543;?#36873;器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址?#20445;?#30446;标地址选“我的 IP地址?#20445;?#28857;击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP?#20445;?#28982;后在“到此端口”下的文?#31350;?#20013;输入“135?#20445;?#28857;击“确定”?#30913;ィ?#22914;上图),这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和UDP 135、139、445 端口,为它?#22681;?#31435;相应的筛选器。重复以上步骤添加TCP 1025、2745、3127、6129、3389端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”?#30913;ァ?/span>

      第四?#21073;?#22312;“新规则属性”对话框中,选择“新 IP筛选器列表?#20445;?#21487;查看已激活的筛选器,然后点击?#21543;?#36873;器操作”选项卡。在?#21543;?#36873;器操作”选项卡中,?#36873;?#20351;用添加向导”左边的钩去掉,点击“添加”?#30913;ィ?#28155;加“阻止”操作(下图):在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止?#20445;?#28982;后点击“确定”?#30913;ァ?/span>

      第五步,进入“新规则属性”对话框,点击“新筛选器操作?#20445;?#36873;中“阻止”筛选器,点击“关闭”?#30913;ィ?#20851;闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打?#24120;础?#30830;定”?#30913;?#20851;闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“分配”。


      2.3其他排查方案

      2.3.1服务器终端排查

      1. 强制使用高强度密码策略;
      2. 针对不同机器,选用不同的管理密码;
      3. 开启系统安全更新,及时安装安全漏洞补丁;
      4. 建议服务器终端开启日志记录功能,为追踪溯源提供基础。

      2.3.2 网络层面防护建议

      1.建议更换 RDP 服务端口号,在核心交换机或防火墙上,阻止默认RDP端口(3389)的流量。
      2. 排查可能存在的内外网连通点,配置防火墙策?#36234;?#34892;安全隔离。

      3.天融信技术支持?#35748;?/span>

      天融信公司后续将积极为用户提供技术支持,进行?#20013;?#36319;踪并及时通报进展。

      获取支持联系方式如下:
      1.直接拨打400-610-5119电话联系当地技术支持团队获得支持。
      2.座机拨打800-810-5119电话获取总部技术支持。

      QUICK CONTACT
      快捷通道
      产?#20998;?#24515;
      解决方案
      安全研究
      技术支持
      关于我们
      河北省11选5

      1. <div id="zkwa0"></div>

        <dd id="zkwa0"><tr id="zkwa0"></tr></dd>
        <div id="zkwa0"><ol id="zkwa0"></ol></div>
        1. <div id="zkwa0"><tr id="zkwa0"><object id="zkwa0"></object></tr></div>
          <div id="zkwa0"><tr id="zkwa0"></tr></div>

          1. <div id="zkwa0"></div>

            <dd id="zkwa0"><tr id="zkwa0"></tr></dd>
            <div id="zkwa0"><ol id="zkwa0"></ol></div>
            1. <div id="zkwa0"><tr id="zkwa0"><object id="zkwa0"></object></tr></div>
              <div id="zkwa0"><tr id="zkwa0"></tr></div>