电话:0371-56272118 邮箱:zlsx818@163.com
您好!2024年3月28日  中心的值班人员是:杨浩帆 电话是:17550335535  欢迎您光临郑州理工职业学院实训与信息管理中心,电话:0371-56272118, 我们将竭诚为您服务! 了解中心人员职责请您点击人员简介进入。
病毒预报
病毒预报 第七百五十四期
日期:2018/9/3 10:11:39  来源:国家计算机病毒应急处理中心  作者:国家计算机病毒应急处理中心  阅读:161次

      国家计算机病毒应急处理中心通过对互联网的监测发现,近期多地发生GlobeImposter勒索病毒事件,经分析,攻击者在突破边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒。此攻击团伙主要攻击开启远程桌面服务的服务器,利用密码抓取工具获取管理员密码后对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。病毒感染后的主要特征包括windows 服务器文件被加密、且加密文件的文件名后缀为*.RESERVE。根据本次事件特征分析,除已受到攻击的单位外,其它同类型单位也面临风险,需要积极进行防范。

  勒索病毒之前的传播手段主要以钓鱼邮件、网页挂马、漏洞利用为主,例如Locky在高峰时期仅一家企业邮箱一天之内就遭受到上千万封勒索钓鱼邮件攻击。然而,从2016年下半年开始,随着Crysis/XTBL的出现,通过RDP弱口令暴力破解服务器密码人工投毒逐渐成为主角。到了2018年,几个影响力最大的勒索病毒几乎全都采用这种方式进行传播,这其中以GlobeImposter、Crysis为代表,感染用户数量最多,破坏性最强。

  针对该勒索病毒所造成的危害,建议用户对已受感染的服务器进行下线隔离并联系专业技术服务机构进行日志及样本分析。对于未受感染的服务器需要在网络边界防火墙上全局关闭3389端口或将3389端口设定为只对特定IP开放,同时开启Windows防火墙,尽量关闭3389、445、139、135等无需使用的高危端口,且每台服务器终端杜绝使用弱口令,设置复杂密码,以避免遭受该勒索病毒的感染,造成严重的损失。

更新日期:2018/9/3 10:12:58
地址:郑州市新郑龙湖大学城南107国道西侧实训楼一 邮编:450000 技术支持:实训与信息管理中心 电话:0371-56272118
郑州理工职业学院实训与信息管理中心保留网站所有权利 未经允许不得复制、镜像
您是本站第433415位访问者  当前在线30 您的IP是35.175.212.5