关于防范勒索病毒传播的预警通知

IDC平台:idcpt.com      2021-11-04 11:29:45    次阅读

尊敬的用户

  您好!

  近期,某数据中心服务器遭受到勒索病毒的攻击,该勒索病毒会利用感染的服务器在网络内进行自动传播,危害极大,个别服务器已被加密勒索且无法恢复。为保障我司数据中心网络安全,现将相关事项通知如下。

一、病毒分析

  根据样本分析为GlobeImposter 勒索病毒,主要攻击windows操作系统,主要是开启远程桌面服务的服务器,攻击者通过暴力破解服务器密码,对内网服务器发起扫描并人工投放病毒加密文件进行勒索。

攻击方式:

  1.GlobeImposter攻击者大多利用弱口令漏洞、系统漏洞等方式获得远程登录用户名和密码,之后通过 RDP(远程桌面协议)远程登录目标服务器并运行勒索病毒程序。 “ 黑客” 一旦能够成功登录服务器,就可以在服务器上为所欲为。即使服务器上安装了安全软件,也有可能会被黑客第一时间手动退出,以便于后续投毒勒索。

  2.不排除数据库漏洞、业务漏洞、U盘感染的可能性。

二、针对该勒索病毒具体的防范建议

  特别提醒:目前遭受勒索病毒加密的文件无法修复,数据备份是行之有效的预防措施。

  1.检查和关闭非必要的远程桌面服务,因业务维护需要的远程桌面服务接收后应该及时关闭相关服务

  2.检查服务器文件是否正常, 如服务器出现异常,联系专业的安全团队处理。

  3.避免将远程桌面服务( RDP,默认端口为 3389)暴露在公网上,并关闭445、139、 135 等不必要的端口。

  4.将服务器密码修改为高强度的复杂密码。

  5.检查服务器和数据库漏洞。

  6.使用针对性的防勒索软件做全面的防勒索安全防护。

  7.做好重要数据的备份工作,做到定期备份,最好有一个备份放在移动硬盘脱机保存。

  8.建议服务器内安装相关安全防护杀毒软件,保障主机安全。

三、感染后的应对措施

  当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施,采取隔离感染病毒主机,防止感染内网其他主机,将损失降到最低。

1 正确处置方法

1) 隔离中招主机

  当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机。

2.错误的处置方法

1) 使用移动存储设备

  当确认服务器已经被感染勒索病毒后,禁止在中毒主机上使用 U 盘、移动硬盘等。

2) 读写中毒主机上的磁盘文件

  当确认服务器已经被感染勒索病毒后,反复读取磁盘上的文件可能会而降降低数据正确恢复的概率

  特此通知。


                                           IDCpt.com公告

                                           2021-11-2