Now: 首页 >> 新闻中心 >> 通知公告 >> 其他通告 >> 正文

关于新型勒索病毒GlobeImposter处理通知


校园网用户:

2018821日起,多地发生GlobeImposter勒索病毒事件,此次攻击目标主要是开启远程桌面服务的服务器,攻击者通过暴力破解服务器密码,对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。病毒感染后的主要特征包括windows服务器文件被加密、且加密文件的文件名后缀为*.RESERVE


易攻击目标:

本次攻击者主要的突破边界手段可能为Windows远程桌面服务密码暴力破解,在进入内网后会进行多种方法获取登陆凭据并在内网横向传播。

综上,符合以下特征的机构将更容易遭到攻击者的侵害:

1. 存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。

2. 内网Windows终端、服务器使用相同或者少数几组口令。

3. Windows服务器、终端未部署或未及时更新安全加固和杀毒软件。


处置建议:

1)避免弱口令,系统登录密码尽量采用字母大小写+数字+特殊符号混合组成,且密码位数应足够长,并在登陆安全策略里限制登录失败次数,定期更换系统登录密码。

2)多台机器不要使用相同或相似的系统登录密码。

3)重要资料定期隔离备份。

4)及时更新系统漏洞并修复,更新FlashJava、以及一系列Web服务程序的安全漏洞补丁。

5)设置共享文件夹的权限为只读。

6)如非必要,尽量关闭3389445139135等不常用的高危端口,禁用Office宏。

7)不要点击来源不明的网页链接,不要下载和打开来源不明的邮箱附件。

8 SQL serverOracle数据库密码设置复杂化,并修改默认的端口。

鉴于漏洞危害和影响较大,请及时检查电脑,消除安全隐患,提高安全防范能力,发现系统感染和遭攻击情况后及时报告。

网络中心

2018年8月30日