IT外包人员如何应对Globelmposter勒索病毒
IT外包工程师如何应对Globelmposter勒索病毒?
进入2018年8月下旬以后,全球很多地方发生Globelmposter勒索病毒事件。对于病毒勒索事件人们已不再陌生,因为有人的地方就有江湖,网络也不例外,而且网络上的人群更具有隐秘性,更容易滋生勒索事件,比如之前肆虐全球的WannaCry病毒事件等案例。
那这次的Globelmposte勒索事件和以往有什么不同呢?笔者认为,最主要的不同是针对性投毒。攻击者在突破边界防御后利用黑客工具进行内网渗透并筛选高价值服务器作为勒索目标进行人工投放勒索病毒。
对于Globelmposter病毒特征,其文件后缀为:GOTHAM;*.YAYA;*.CHAK;*.GRANNY;*.SKUNK;*.TRUE;*.SEXY;*.MAKGR;*.BIG1;*.LIN;*.BIIT;*.reserve;*.BUNNY;*.FREEMAN;勒索通知信息文件为:how_to_back_files.html。
关于攻击方式,此病毒主要针对企业,通过RDP远程桌面爆破入侵投放病毒,病毒会加密被感染主机本地磁盘与共享文件夹的所有文件,并在内网对其他电脑进行口令爆破,扩散病毒。
可能受影响的设备如下:
1、存在弱口令且RDP服务暴露在外网上的设备;
2、内网设备使用相同或者少数几组口令;
3设备未部署或未及时更新杀毒软件。
IT外包人员对Globelmposter勒索病毒的应对策略如下:
1、断开网络,预防感染其他内网计算机文件;
2、结束病毒进程,安装杀毒软件,查杀病毒,预防二次中毒;(查杀病毒不会损坏加密的文件)
3、备份加密数据,预防意外造成加密数据损坏无法解密;
4、排查服务器的局域网是否有共享文件夹文件被加密,进行备份。
IT外包工程师应该如何预防Blobelmposter勒索病毒?
1、Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议),因此建议用户关闭相应的RDP(远程桌面协议);
2、不要点击来源不明的邮件以及陌生附件,可能包含密码抓取工具或其他木马病毒;
3、更改默认administrator管理账户,禁用GUEST来宾账户;
4、更改复杂密码,字母大小写,数字及符号组合的密码,不低于10位字符;
5、设置账户锁定策略,对输入5次错误密码的用户禁止登陆;
6、安装杀毒软件,设置退出或更改需要密码,防止被入侵关闭杀毒软件;
7、定期做好数据异地备份,如是云服务器,一定要做好快照;
8、服务器尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139等;
9、禁止系统自带远程协助服务,使用其他远程管理软件,例如:TeamViewer,并妥善保管好密码。
本文由亮点电脑IT外包公司工程师在发现Globelmposter勒索事件后第一时间撰写发布。亮点是深圳蓝色快线的简称,专业提供IT外包、企业电脑外包、企业IT外包服务、政府IT办公设备维护、工厂电脑维修、网络维护、服务器维护、安防视频监控等IT helpdesk support服务,是国内专业IT外包服务商。