尊敬的用户
您好!
近期,某数据中心服务器遭受到勒索病毒的攻击,该勒索病毒会利用感染的服务器在网络内进行自动传播,危害极大,个别服务器已被加密勒索且无法恢复。为保障我司数据中心网络安全,现将相关事项通知如下。
一、病毒分析
根据样本分析为GlobeImposter 勒索病毒,主要攻击windows操作系统,主要是开启远程桌面服务的服务器,攻击者通过暴力破解服务器密码,对内网服务器发起扫描并人工投放病毒加密文件进行勒索。
攻击方式:
1.GlobeImposter攻击者大多利用弱口令漏洞、系统漏洞等方式获得远程登录用户名和密码,之后通过 RDP(远程桌面协议)远程登录目标服务器并运行勒索病毒程序。 “ 黑客” 一旦能够成功登录服务器,就可以在服务器上为所欲为。即使服务器上安装了安全软件,也有可能会被黑客第一时间手动退出,以便于后续投毒勒索。
2.不排除数据库漏洞、业务漏洞、U盘感染的可能性。
二、针对该勒索病毒具体的防范建议
特别提醒:目前遭受勒索病毒加密的文件无法修复,数据备份是行之有效的预防措施。
1.检查和关闭非必要的远程桌面服务,因业务维护需要的远程桌面服务接收后应该及时关闭相关服务
2.检查服务器文件是否正常, 如服务器出现异常,联系专业的安全团队处理。
3.避免将远程桌面服务( RDP,默认端口为 3389)暴露在公网上,并关闭445、139、 135 等不必要的端口。
4.将服务器密码修改为高强度的复杂密码。
5.检查服务器和数据库漏洞。
6.使用针对性的防勒索软件做全面的防勒索安全防护。
7.做好重要数据的备份工作,做到定期备份,最好有一个备份放在移动硬盘脱机保存。
8.建议服务器内安装相关安全防护杀毒软件,保障主机安全。
三、感染后的应对措施
当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施,采取隔离感染病毒主机,防止感染内网其他主机,将损失降到最低。
1 正确处置方法
1) 隔离中招主机
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机。
2.错误的处置方法
1) 使用移动存储设备
当确认服务器已经被感染勒索病毒后,禁止在中毒主机上使用 U 盘、移动硬盘等。
2) 读写中毒主机上的磁盘文件
当确认服务器已经被感染勒索病毒后,反复读取磁盘上的文件可能会而降降低数据正确恢复的概率
特此通知。
IDCpt.com公告
2021-11-2