近日,多家技術(shù)機構(gòu)監(jiān)測發(fā)現(xiàn),利用Globelmposter勒索病毒發(fā)起的攻擊呈上升趨勢。目前已有一些單位的業(yè)務(wù)系統(tǒng)感染Globelmposter勒索病毒,導(dǎo)致數(shù)據(jù)被加密,業(yè)務(wù)中斷。此次Globelmposter勒索病毒攻擊的主要方式是暴力破解RDP遠程登錄密碼后,再進一步在內(nèi)網(wǎng)橫向滲透。與近期其他版本勒索病毒主要針對服務(wù)器以及數(shù)據(jù)庫文件加密不同,此次爆發(fā)的Globelmposter勒索病毒并不區(qū)分被入侵機器是否為服務(wù)器,一旦入侵成功后直接感染。Globelmposter勒索病毒感染安裝有Windows系統(tǒng)的電腦后,會加密Windows系統(tǒng)中的磁盤文件,且更改被加密文件的后綴名。
請學(xué)校各部門加強對本單位的主機及服務(wù)器進行風險排查。對排查發(fā)現(xiàn)的問題,應(yīng)采取必要的整改措施,避免遭遇勒索病毒破壞之后業(yè)務(wù)系統(tǒng)出現(xiàn)嚴重損失。各單位若遭受攻擊,應(yīng)立即啟動預(yù)案進行處置,并按規(guī)定報告。
附件:處置建議
對于尚未感染Globelmposter勒索病毒的系統(tǒng),要提前備份關(guān)鍵業(yè)務(wù)系統(tǒng),避免遭遇勒索病毒破壞之后業(yè)務(wù)系統(tǒng)出現(xiàn)嚴重損失。對于感染該病毒的系統(tǒng),建議在內(nèi)網(wǎng)下線處理,病毒清理完畢后再重新接入網(wǎng)絡(luò)。
對于內(nèi)網(wǎng)中其他未中毒的電腦,建議使用由數(shù)字和特殊字符組合的復(fù)雜密碼,避免攻擊者暴力破解成功。同時,及時修復(fù)操作系統(tǒng)補丁,避免因漏洞導(dǎo)致攻擊入侵事件發(fā)生。終端用戶若不使用遠程桌面登錄服務(wù),建議關(guān)閉。局域網(wǎng)內(nèi)已發(fā)生勒索病毒入侵的,可暫時關(guān)閉135、139、445端口(暫時禁用Server服務(wù)),以減少遠程入侵的可能。
