病毒介紹
經分析,此次信息系統爆發的勒索病毒類型爲近期熱門的GlobeImposter家族勒索病毒最新變種3.0版本,其特徵爲加密並破壞數據庫文件,病毒將加密後的文件重命名爲.Ox4444擴展名,並要求用戶通過郵件溝通贖金跟解密密鑰等。由於其加密算法採用無法反向的RSA+AES算法,因此加密後文件無法免費解密。
GlobeImposter家族病毒區別於早期的Wannacry病毒,其傳播途徑主要通過3389端口,通過RDP遠程桌面協議進行口令暴力破解從而***網絡;但此次病毒事件中發現部分單位網絡中存在445端口傳播跡象,疑似混雜了GlobeImposter和Wannacry兩種病毒,因此處理中需同時考慮兩種病毒的情況。
應急處置思路
針對已中毒的單位,需按照以下方案進行應急處置:
1. 迅速隔離中毒主機,可斷網;
2. 關閉所有對外映射的3389端口和內部不必要的445端口;
3. 在邊界位置通過防火牆等設備建立訪問控制策略,封堵入站的3389端口,防止其他單位的橫向、縱向***;
4. 針對此次部分某某單位發現的病毒,建議重要服務器無業務需要情況下關閉135,139,445端口,更新補丁。
5. 如果要使用SMB服務器儘量設置較爲複雜的密碼,建議密碼設置爲字符串+特殊字符+數字,並且不要對公網開放,建議使用***;
6. 這些後綴是最新發現GlobeImposter 3.0變種後綴 .China4444 .Help4444 .Rat4444 .Ox4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444 .Rooster4444 .Dog4444 .Pig4444