2018年8月21日起,高法多地发生GlobeImposter勒索病毒事件,经过定性分析,基本确认是黑客组织针对法院系统进行的定向爆破和定向投递勒索病毒,此攻击团伙通过可疑ip(138.199.193.225)RDP远程桌面攻击服务器,利用KprocessHacker 结束杀毒软件进程,并利用其它黑客工具如扫描器、密码抓取工具进行进一步攻击,随后执行勒索软件,文件被加密,病毒感染后的主要特征包括windows服务器文件被加密、加密后缀 *.RESERVE。
根据本次事件特征分析,除已受到攻击单位外,其它同类型单位也面临风险,需积极应对。
针对本次攻击事件,360公司提供紧急解决方案如下:
一、紧急处置方案
1、对于已中招服务器
下线隔离。
2、对于未中招服务器
1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。
2)开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。
3)每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
4)安装天擎最新版本(带防爆破功能)和天擎服务器加固版本防止被黑。
5) 如用户处存在虚拟化环境,建议用户安装360网神虚拟化安全管理系统,进一步提升防恶意软件、防暴力破解等安全防护能力。
二、后续跟进方案
1)对于已下线隔离中招服务器,联系专业技术服务机构进行日志及样本分析。
2)部署全流量监测设备(天眼),及时发现恶意网络流量,进一步追踪溯源。
