English

狙击Globelmposter3.0勒索病毒,安视交换机铸防御基石!

2019-03-13

近日,部分医疗单位内部网络受到勒索病毒攻击,经确认是“GlobeImposter”勒索病毒的最新变种3.0,该勒索病毒采用RSA+AES方式加密用户文件,将文件后缀改为以*.4444结尾,并要求用户通过邮件沟通赎金和密钥。


勒索病毒作为一种新型电脑病毒,主要以系统漏洞、程序木马、网页挂马的形式进行传播。Globelmposter 勒索病毒首次出现在2017年5月,2018年2月全国各大医院相继遭受Globelmposter2.0 勒索病毒攻击,导致医院系统被加密,严重影响了医院的正常业务。而后变种出Globelmposter3.0版本,又导致全国多家法院等政企事业单位被勒索加密。


安全防御体系现状


基础安全体制薄弱,执行不严格:部分医疗用户虽然部署了一定数量的安全设备,但放松了对内网终端及服务器的安全管理。大量不必要的高危端口开放,简单重复的弱口令导致服务器安全防御体系形同虚设。


缺乏全过程的安全保护体系:在勒索病毒爆发前没有预防手段、爆发中没有防御措施、爆发后没有及时检测和解决问题的办法。


过于复杂的安全体系:过于复杂的体系,使得安全策略并没有及时修改,安全规则库并没有及时更新,也缺乏及时获取到安全事件信息的能力等。


监测预警能力的缺失:缺乏统一有效的网络异常事件监控手段及动态的全网风险感知手段。


Globelmposter勒索病毒防范

▼对于已感染的主机

建议迅速下线中毒主机,可直接切断网络连接,例如拔掉网线。


▼对于尚未感染的主机,可以采取以下解决方案

推荐使用信锐安视交换机+深信服SIP态势感知联动解决方案。


◆信锐安视交换机东西向流量控制,防御终端病毒扩散

东西向端口访问控制:统一控制器平台关闭终端不必要的端口服务,通过部署安视交换机创建东西向安全策略,实现全网安全风险拦截;


1552894452418.jpg


内网安全攻击显示:病毒在传播时都会进行端口扫描发现攻击对象,可以分析出进行端口扫描的终端设备。


1552894463160.jpg


信锐安视交换机联动SIP态势感知平台,打造纵深立体安全闭环


内网双重安全抓手:深信服态势感知进行整网安全分析,终端资产安全风险大屏可视;在接入边缘联动安视交换机阻隔风险终端。


1552894481278.jpg


纵深立体安全防护闭环:更全面的边-端纵深立体融合安全防御;更有效的“双探针”组合拳,发现攻击源并且快速干掉。


1552894492323.jpg


另外给大家一些普遍性防范勒索病毒建议:

1.关闭高危端口

关闭3389、445、135、137等高风险端口,针对需要开启远程桌面连接的计算机,通过修改远程桌面端口方式规避3389端口风险。


2.安装补丁和杀毒软件

及时为计算机安装最新的安全补丁;安装具有正式授权的最新商业杀毒软件,并使用勒索病毒免疫工具对服务器进行免疫。


3.重要数据备份

将服务器中的重要文件资料等做好硬盘备份或云备份,备份完后脱机保存备份硬盘,并定期检查备份文件的可用性。


4.强化网络安全意识

周期性检查网络设备及安全防护设备日志,不明链接不要点击,不明文件不要下载,不明邮件不要打开。

注:Globelmposter3.0是勒索病毒变种,处置方法与勒索病毒可通用。


信锐为用户提供从咨询到运维的全生命周期专业服务,协助客户实现网络安全一站式交付,以用户为中心,风险共担,保障用户的网络安全。