<menuitem id="dp1tl"><video id="dp1tl"><thead id="dp1tl"></thead></video></menuitem>
<progress id="dp1tl"></progress>
<ruby id="dp1tl"><video id="dp1tl"><progress id="dp1tl"></progress></video></ruby>
<cite id="dp1tl"><video id="dp1tl"><th id="dp1tl"></th></video></cite>
<progress id="dp1tl"><var id="dp1tl"><strike id="dp1tl"></strike></var></progress>
<menuitem id="dp1tl"><del id="dp1tl"></del></menuitem>
天融信关于勒索病毒 GlobeImposter 最新变种的预警通告
时间:2018-08-23来源:点击:6267分享:
近日,部分单位内部网络受到勒索病毒攻击,经确认是“GlobeImposter”勒索病毒的最新变种,该勒索病毒采用高强度?#29992;?#26041;式?#29992;?#29992;户文件。

1.背景介绍

近日,部分单位内部网络受到勒索病毒攻击,经确认是“GlobeImposter”勒索病毒的最新变种,该勒索病毒采用高强度?#29992;?#26041;式?#29992;?#29992;户文件。

攻击者在进入内网后,利用黑客工具进行内网渗透并选择高价?#30340;?#26631;服务器进行人工投放勒索病毒。为防止其它单位受到该勒索病毒的攻击,需积极应对。

1.1病毒情况描述

本次爆发的勒索病毒,它会使用高强度?#29992;?#26041;式?#29992;艽排?#25991;件并将后缀名篡改为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE 等。现已确认,在没有病毒作者私钥的情况下无法恢复被?#29992;?#30340;文件。

最终该病毒将引导受害者通过邮件与勒索者进行联系,要求受害者将被?#29992;?#30340;?#35745;?#25110;文档发送到指定的邮箱进行付费解密。

01.jpg

1.2风险等级

风险等级:高

2.解决方案

2.1天融信解决方案

2.1.1通过天融信EDR终端威胁防御系统应急处理

安装天融信EDR进行病毒查杀与防御,企业版与单机版均可实现勒索病毒的应急防护。

单机互联网版下载地址(下载后需要更新病毒库)

http://edr.topsec.com.cn

单机离线版下载地址

ftp://ftp.topsec.com.cn/终端威胁防御系统(TOPAV)/单机版

企业版

企业版可以联系天融信当地销售、技术或者天融信官方?#22836;?#30005;话咨询,咨询电话:400 610 5119、800 810 5119。

安装后建议开启勒索病毒诱捕功能,对未知勒索病毒进行防御:

2.1. 2通过天融信防火墙、UTM设备进行防御

通过在设备上配?#31859;?#26029;策略来禁止445和3389端口的通信,具体方法如下:

1.添加策略:

点击“防火墙”—“阻断策略”在阻断策略页签中点击“添加?#20445;?#22914;下图所示:

2.编辑策略内容:

访问权限为“拒绝”、协议类型为“IP”、IP协议类型为“TCP”、源地址和目的地址为“any”、目的端口为“445?#20445;?#22635;写好后点击“确定”。如下图所示:

根据上述方法同样的添加一条禁止目的端口为3389的访问策略。

3.添加完成后的效果:

2.2通过主机安全配置

1. 开启Windows 防火墙,阻止 445、3389 端口。必须要通过 RDP 管理的主机,建议更换 RDP 服务端口号。

2. 检查并修改计算机上的弱密码。

3.下面是关闭3389、445、139、135等端口的方法。

第一步, 点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略?#20445;?#36873;中“IP安全策略,在本地计算机?#20445;?#22312;右边?#26696;?#30340;空白位置右击鼠标,弹出快捷菜单,选择“创建IP安全策略?#20445;?#22914;下图),于是弹出一个向导。在向导中点击“下一?#20581;卑磁ィ?#20026;新的安全策略命名;再?#30784;?#19979;一?#20581;保?#21017;显示“安全通信请求?#34987;?#38754;,在画面上?#36873;?#28608;活默认相应规则”左边的钩去掉,点击“完成”?#30913;?#23601;创建了一个新的IP 安全策略。

第二?#21073;?#21491;击该IP安全策略,在“属性”对话框中,?#36873;?#20351;用添加向导”左边的钩去掉,然后单击“添加”?#30913;?#28155;加新的规则,随后弹出“新规则属性”对话框,在画面?#31995;?#20987;“添加”?#30913;ィ?#24377;出IP筛选器列表窗口;在列表中,首先?#36873;?#20351;用添加向导”左边的钩去掉,然后再点击右边的“添加”?#30913;?#28155;加新的筛选器。

第三?#21073;?#36827;入?#21543;?#36873;器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址?#20445;?#30446;标地址选“我的 IP地址?#20445;?#28857;击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP?#20445;?#28982;后在“到此端口”下的文?#31350;?#20013;输入“135?#20445;?#28857;击“确定”?#30913;ィ?#22914;上图),这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和UDP 135、139、445 端口,为它?#22681;?#31435;相应的筛选器。重复以上步骤添加TCP 1025、2745、3127、6129、3389端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”?#30913;ァ?/span>

第四?#21073;?#22312;“新规则属性”对话框中,选择“新 IP筛选器列表?#20445;?#21487;查看已激活的筛选器,然后点击?#21543;?#36873;器操作”选项卡。在?#21543;?#36873;器操作”选项卡中,?#36873;?#20351;用添加向导”左边的钩去掉,点击“添加”?#30913;ィ?#28155;加“阻止”操作(下图):在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止?#20445;?#28982;后点击“确定”?#30913;ァ?/span>

第五步,进入“新规则属性”对话框,点击“新筛选器操作?#20445;?#36873;中“阻止”筛选器,点击“关闭”?#30913;ィ?#20851;闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打?#24120;础?#30830;定”?#30913;?#20851;闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“分配”。


2.3其他排查方案

2.3.1服务器终端排查

1. 强制使用高强度密码策略;
2. 针对不同机器,选用不同的管理密码;
3. 开启系统安全更新,及时安装安全漏洞补丁;
4. 建议服务器终端开启日志记录功能,为追踪溯源提供基础。

2.3.2 网络层面防护建议

1.建议更换 RDP 服务端口号,在核心交换机或防火墙上,阻止默认RDP端口(3389)的流量。
2. 排查可能存在的内外网连通点,配置防火墙策略进行安全隔离。

3.天融信技术支持?#35748;?/span>

天融信公司后续将积极为用户提供技术支持,进行?#20013;?#36319;踪并及时通报进展。

获取支持联系方式如下:
1.直接拨打400-610-5119电话联系当地技术支持团队获得支持。
2.座机拨打800-810-5119电话获取总部技术支持。

QUICK CONTACT
快捷通道
产?#20998;?#24515;
解决方案
安全研究
技术支持
关于我们
重庆时时彩开奖 官方
<menuitem id="dp1tl"><video id="dp1tl"><thead id="dp1tl"></thead></video></menuitem>
<progress id="dp1tl"></progress>
<ruby id="dp1tl"><video id="dp1tl"><progress id="dp1tl"></progress></video></ruby>
<cite id="dp1tl"><video id="dp1tl"><th id="dp1tl"></th></video></cite>
<progress id="dp1tl"><var id="dp1tl"><strike id="dp1tl"></strike></var></progress>
<menuitem id="dp1tl"><del id="dp1tl"></del></menuitem>
<menuitem id="dp1tl"><video id="dp1tl"><thead id="dp1tl"></thead></video></menuitem>
<progress id="dp1tl"></progress>
<ruby id="dp1tl"><video id="dp1tl"><progress id="dp1tl"></progress></video></ruby>
<cite id="dp1tl"><video id="dp1tl"><th id="dp1tl"></th></video></cite>
<progress id="dp1tl"><var id="dp1tl"><strike id="dp1tl"></strike></var></progress>
<menuitem id="dp1tl"><del id="dp1tl"></del></menuitem>