近日,部分单位内部网络受到勒索病毒攻击,经确认是“GlobeImposter”勒索病毒的最新变种,该勒索病毒采用高强度加密方式加密用户文件。
攻击者在进入内网后,利用黑客工具进行内网渗透并选择高价值目标服务器进行人工投放勒索病毒。为防止其它单位受到该勒索病毒的攻击,需积极应对。
1.1病毒情况描述本次爆发的勒索病毒,它会使用高强度加密方式加密磁盘文件并将后缀名篡改为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE 等。现已确认,在没有病毒作者私钥的情况下 无法恢复 被加密的文件。
最终该病毒将引导受害者通过邮件与勒索者进行联系,要求受害者将被加密的图片或文档发送到指定的邮箱进行付费解密。
1.2 风险等级
风险等级: 高
2. 解决方案 2.1天融信解决方案 2.1.1通过天融信EDR终端威胁防御系统应急处理安装天融信EDR进行病毒查杀与防御,企业版与单机版均可实现勒索病毒的应急防护。
单机互联网版下载地址(下载后需要更新病毒库)
http://edr.topsec.com.cn
单机离线版下载地址
ftp://ftp.topsec.com.cn/终端威胁防御系统(TOPAV)/单机版
企业版
企业版可以联系天融信当地销售、技术或者天融信官方客服电话咨询,咨询电话:400 610 5119、800 810 5119。
安装后建议开启勒索病毒诱捕功能,对未知勒索病毒进行防御:
2.1. 2通过天融信防火墙、UTM设备进行防御
通过在设备上配置阻断策略来禁止445和3389端口的通信,具体方法如下:
添加策略:点击“防火墙”―“阻断策略”在阻断策略页签中点击“添加”,如下图所示:
编辑策略内容:
访问权限为“拒绝”、协议类型为“IP”、IP协议类型为“TCP”、源地址和目的地址为“any”、目的端口为“445”,填写好后点击“确定”。如下图所示:
根据上述方法同样的添加一条禁止目的端口为3389的访问策略。
添加完成后的效果:
2.2通过主机安全配置
1. 开启 windows 防火墙,阻止 445、3389 端口。必须要通过 RDP 管理的主机,建议更换 RDP 服务端口号。
2. 检查并修改计算机上的弱密码。
3.下面是关闭3389、445、139、135等端口的方法。
第一步, 点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP安全策略”(如下图),于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮(如上图),这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和UDP 135、139、445 端口,为它们建立相应的筛选器。重复以上步骤添加TCP 1025、2745、3127、6129、3389端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。
第四步,在“新规则属性”对话框中,选择“新 IP筛选器列表”,可查看已激活的筛选器,然后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作(下图):在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
第五步,进入“新规则属性”对话框,点击“新筛选器操作”,选中“阻止”筛选器,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“分配”。
2.3 其他排查方案 2.3.1服务器终端排查
1. 强制使用高强度密码策略;
2. 针对不同机器,选用不同的管理密码;
3. 开启系统安全更新,及时安装安全漏洞补丁;
4. 建议服务器终端开启日志记录功能,为追踪溯源提供基础。
2.3.2 网络层面防护建议1. 建议更换 RDP 服务端口号,在核心交换机或防火墙上,阻止默认RDP端口(3389)的流量。
2. 排查可能存在的内外网连通点,配置防火墙策略进行安全隔离。
3. 天融信技术支持热线天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展。
获取支持联系方式如下:
1.直接拨打400-610-5119电话联系当地技术支持团队获得支持。
2.座机拨打800-810-5119电话获取总部技术支持。