广东快三

安全公告
当前位置:首页 > 安全测评 > 安全公告
新型勒索病毒GlobeImposter处理通知
日期: 2018-08-24 字号:
    经金山安全监测提醒,自 2018 年 8 月 20 日,多地爆发 GlobeImposter

勒索病毒事件,经过金山病毒监测中心鉴定分析,发现黑客使用的勒索病毒

全部为 GlobeImposter 家族的勒索病毒,黑客在突破企业防护边界后释放并

运行勒索病毒,最终导致系统破坏,影响正常工作秩序。

    目前该病毒传播方式有以下几种:

钓鱼邮件

网页挂马

操作系统漏洞利用

RDP (远程桌面服务)弱口令(常伴随共享文件夹感染)

Flash 0day

JBOSS 反序列化漏洞

JBOSS 默认配置漏洞

Weblogic WLS 组件漏洞

PUT 任意上传文件漏洞

Tomcat Web 管理后台弱口令爆破

CHM 帮助文件

带宏脚本 Word 文档

AutoIt 和 NSIS 等脚本语言生成的程序

Mimikatz 渗透等方式进行内网横向移动

SQL server 服务器弱口令

Oracle 服务器弱口令

 

本次攻击者主要的突破边界手段可能为 Windows 远程桌面服务密码

暴力破解,在进入内网后会进行多种方法获取登陆凭据并在内网横向传

播。

综上,符合以下特征的机构将更容易遭到攻击者的侵害:

1. 存在弱口令且 Windows 远程桌面服务(3389 端口)暴露在互联网上

的机构。

2. 内网 Windows 终端、服务器使用相同或者少数几组口令。

3. Windows 服务器、终端未部署或未及时更新安全加固和杀毒软件

 

紧急处置方案

    1)避免弱口令,系统登录密码尽量采用字母大小写+数字+特殊符号

混合组成,且密码位数应足够长,并在登陆安全策略里限制登录失败次

数,定期更换系统登录密码。

2)多台机器不要使用相同或相似的系统登录密码。

3)重要资料定期隔离备份。

4)及时更新系统漏洞并修复,更新 Flash、Java、以及一系列 Web

服务程序的安全漏洞补丁。

5)设置共享文件夹的权限为只读。

6)如非必要,尽量关闭 3389、445、139、135 等不常用的高危端口,

禁用 Office 宏。

7)不要点击来源不明的网页链接,不要下载和打开来源不明的邮箱附

件。

8) SQL server 和 Oracle 数据库密码设置复杂化,并修改默认的端

 

有安装金山防病毒软件的PC(正版操作系统),请及时更新病毒库,并更新操作系统补丁,在防病毒软件的“漏洞修复”中,直接点击“修复”即可。

 

 

涉及以下补丁时,如果您的操作系统非正版,通过Ghost方式安装,批量使用破解工具激活的,可能会出现蓝屏,请在安装以下补丁时自行选择。

 

 

 

 

 

 

 

                                             广东快三

                                            20188月24

收藏】 【打印】 【关闭