LOL竞猜外围

新闻中心

近期疯狂肆虐医疗机构元凶Globelmposter勒索病毒解决方案

  2018-03-01 10:00:00

阅读提示:本文档主要侧重于预防及处理,协助网管进行病毒防御,详细的病毒样本分析研究方面的请另见相关技术文档。


1?病毒说明


Globe属于近年常见的勒索型病毒,GlobeImposter是其的升级变异,LOL竞猜外围LOL竞猜外围利用部署在全国监控节点结果来看,自2017年以来


GlobeImposter演变了多个变种,包括对文件加密并统一修改后缀分别为“doc、f41o1、chak、true”等的变种,近期有感染暴发趋势,医疗机构感染频率较高。


最新变种GlobeImposter2.0取用2048位非对称加密算法进行加密,增加解密难度,目前暂无有效的恢复工具。该类病毒既有典型的勒索型病毒特征,如传用漏洞进行传播,统一篡改加密文件后缀, 感染后生成文件提示缴纳虚拟币作为赎金。同时其传播的手段更丰富,如精心制作大量社会工程邮件,诱骗受害者点击下载恶意代码;从监控结果看,病毒具有RDP弱口令猜测能力,且内网主机感染后, 黑客甚至利用该病毒进行内网渗透,远程控制进行进一步的攻击。


2?感染特征


以DOC变种为例,其它变种特征类同。病毒文件执行后,GlobeImposter勒索软件将加密计算机各种文件,包括系统文件、数据库文件及办公类文件等,然后生成以DOC为扩展后缀的加密文件,如下图:



GlobeImposter加密文件同时创建赎金备注文件,如下图:



3?传播感染方式


1)?外网传播


1?社会工程邮件(如鱼叉)

2?网页插件(如水坑)

3?网页下载

4?IM文件


2)?内网传播


1?共享漏洞

2?口令猜测

3?移动存储介质


4?LOL竞猜外围LOL竞猜外围解决方案


4.1?回顾与思考


回顾这几年的勒索型病毒的传播及演变,攻击者逐步追求利益最大化,推测未来攻击会趋向于更有针对性,如结合社会工程进行深层次的ATP攻击。所以未来机构、事件单位、企业等将会是攻击主要目标。而这些单位网络终端多、网络复杂、应用场景复杂、数据机密相对高,容易隐藏LOL竞猜外围死角,一旦少数终端感染快速大量传播,造成数据破坏、业务中断风险。


随着虚拟币市场的快速发展,勒索病毒传播及变种将会相应暴发式增长,同时利用技术亦会不断提高,简单的专杀工具逐渐不能满足所需。依托LOL竞猜外围20多年的病毒研究技术积累,LOL竞猜外围LOL竞猜外围拥有高效的病毒动态分析防御能力。同时借助在全国各地的监控点,快速捕获各种勒索病毒变种样本,不断丰富病毒库。



邮件、网页下载、网页浏览、漏洞利用及移动介质使用等均是感染病毒高风险途径,单一防护亦不能有效防御病毒。LOL竞猜外围LOL竞猜外围根据多年对勒索病毒的持续跟踪研究,利用LOL竞猜外围LOL竞猜外围防毒墙及V8+终端LOL竞猜外围系统构建了包括网关、边界、云端及终端的完善立体式勒索病毒查杀防御方案。



LOL竞猜外围VGM新一代防毒墙可有效拦截/监控诸如病毒传播、蠕虫攻击、木马通讯、僵尸网络、口令探测等当前活跃的多种网络威胁。+终端LOL竞猜外围系统构建了包括网关、边界、云端及终端的完善立体式勒索病毒查杀防御方案。


LOL竞猜外围V8+终端LOL竞猜外围系统含有病毒查杀、补丁修复、移动介质LOL竞猜外围管理等丰富的终端LOL竞猜外围管理功能。可动态检测、实时处理、全网追溯用户网络中的已知及未知威胁。


4.2?应对方法


1)任何终端电脑使用者,均不要轻易打开不信任的链接、邮件、QQ附件等。

2)掉停非必要共享,如非必要关闭不需要的服务以及共享端口(445,139,135等)。

3)注意备份重要数据,且建议多份备份,备份到linux系统。

4)关掉不必要的3389等RDP远程登录服务,设置强壮口令,利用LOL竞猜外围防毒墙对弱口令猜测防御。



5)利用LOL竞猜外围防毒墙对网络中恶意流量进行分析过滤,在内外网关节点有效防御病毒跨网传播,及时发现感染后的木马外联行为,以及防止病毒感染后的对内部进一步的渗透攻击。



6)利用LOL竞猜外围V8+终端防御系统的“漏洞修复”功能对终端进行补丁加固,特别是MS17-010等的共享型漏洞补丁。



7)病毒实时监控及定期查杀


利用LOL竞猜外围V8+终端防御系统创建策略实现定时杀时以及实时监控。同时开启LOL竞猜外围加固模块。此加固模块已内置了基于HIPS的勒索者主动防御机制,能有效对抗各类已知和未知勒索软件(已申请专利)。开启此LOL竞猜外围加固模块后,所有用户的终端均可免于GlobeImposter勒索病毒的侵袭,免于感染。



8)移动存储介质LOL竞猜外围管控


利用LOL竞猜外围V8+利用LOL竞猜外围V8+终端防御系统的“边界管理”对所有边界进行LOL竞猜外围监控及防护,包括U盘、移动硬盘、网络共享、网络下载、IM聊天、网络浏览等,减少病毒感染机率。



4.3?场景方案


4.3.1?对已感染病毒处理


1)?对感染终端进行脱网处理

2)?利用LOL竞猜外围V8+终端防御系统创建策略快速查杀。



3)?利用LOL竞猜外围V8+终端防御系统对终端进行补丁修复



4.3.2?对无法加固终端防御方案


除了根据“4.2应对方法”对数据进行备份、关闭不必要服务及端口等外,同时建议利用LOL竞猜外围LOL竞猜外围产品实现LOL竞猜外围防御,降低感染风险。


1)?利用LOL竞猜外围防毒墙在网关进行异常流量监控。

2)?利用LOL竞猜外围V8+终端防御系统创建策略对终端进行实时监控。

4.3.3?对存在大量共享网络方案


除了根据“4.2应对方法”对数据进行备份、关闭不必要服务及端口等外,同时建议利用LOL竞猜外围LOL竞猜外围产品实现LOL竞猜外围防御,降低感染风险。


1)?利用LOL竞猜外围V8+终端防御系统对终端进行漏洞修复。

2)?利用LOL竞猜外围防毒墙在网关进行异常流量监控。

3)?利用LOL竞猜外围V8+终端防御系统创建策略对终端进行实时监控。


4.3.4?对XP系统防护


除了根据“4.2应对方法”对数据进行备份、关闭不必要服务及端口等外同时建议利用LOL竞猜外围LOL竞猜外围产品实现LOL竞猜外围防御,降低感染风险。


1)?利用LOL竞猜外围防毒墙在网关进行异常流量监控。

2)?利用LOL竞猜外围V8+终端防御系统创建策略对终端进行实时监控。

3)?利用LOL竞猜外围V8+终端防御系统的“XP防护盾”LOL竞猜外围模块进行防御。