信息技术中心
 
 首页  |  中心概况  |  校园网络  |  用户指南  |  网络服务  |  信息资源  |  网络课堂  |  网站地图 
信息查询:
 
软件下载

勒索病毒应急响应自救手册
网络与信息安全情况通报
2018年国家网络安全宣传周将于9月17日至23日举行
2017年国家网络安全宣传周
高职高专网络专委会年度计划工作会在温江召开
趋势防毒墙安装说明



 
当前位置: 首页>>信息资源>>安全公告>>正文

网络与信息安全情况通报
2019-03-11 23:10   审核人:

- 1 -
网络与信息安全情况通报
普刊第5 期
四川省网络与信息安全信息通报中心2019 年3 月11 日
关于进一步防范
Globelmposter3.0 变种勒索病毒的紧急预警
近日,工作中发现,Globelmposter 勒索病毒3.0 变种
再次席卷全国各地医院,受影响的系统数据库文件等被加密
破坏,病毒将加密后的文件后缀改以*4444 结尾,并要求用
户通过邮件沟通赎金跟解密密钥等。现将相关情况通报如
下:
一、情况概述
Globelmposter 3.0 勒索变种的安全威胁热度一直居高
不下。2018 年8 月27 日,我中心以《关于防范Globelmposter
勒索病毒的情况通报》(2018 年普刊第7 期)就该勒索病毒
攻击方式、重点目标及工作建议进行了专题通报。
- 2 -
Globelmposter 3.0 勒索病毒攻击手法极其丰富,可以
通过社会工、RDP 爆破、恶意程序捆绑等方式进行传播,其
加密的后缀名以*4444 结尾,文件被加密后会被加上以下后
缀:Ox4444、China4444、Help4444、Rat4444 、Tiger4444 、
Rabbit4444 、Dragon4444 、Snake4444 、Horse4444、
Goat4444 、Monkey4444 、Rooster4444、Dog4444。在被加
密的目录下会生成一个名为“HOW_TO_BACK_FILES”的txt
文件,显示受害者的个人ID 序列号以及黑客的联系方式等。
Globelmposter3.0 勒索病毒的工作原理是,病毒程序
用自带的密码本破解服务器远程桌面3389 端口服务的口令,
破解后实现自动登录并把病毒体拷贝到服务器上运行,运行
后首先把本地文档进行加密勒索,然后再以本机为跳板,扫
描内网开放的3389 服务,继续层层感染内网服务器。
二、影响范围
通过对全国网络态势和舆情分析,本次Globelmposter
3.0 变种勒索病毒已在多个省份医院重要信息系统形成规模
爆发趋势。据甘肃省卫生健康委员会通报,甘肃省内共有30
家市、县级医院系统服务器感染该病毒,导致服务器中断,
不同程度造成医院HIS 等信息系统瘫痪,直接影响医院正常
工作。截止目前,我省尚未接到针对本次勒索病毒的相关案
(事)件报告。
三、处置建议
- 3 -
为有效应对处置此次事件,国家网络与信息安全信息通
报中心协调技术支撑单位开放“互联网暴露资产测绘公有云
平台”(地址:cii.gov110.cn)注册服务,请各通报机制
成员单位立即使用统一注册邀请码“37b853ace4”进行自主
注册,注册后输入各自单位互联网IP 地址段、域名或网站
名称认领自家暴露在互联网上的IP、端口、操作系统、设备
型号类型等网络空间资产,对于暴露远程桌面3389 端口的,
使用弱密码扫描工具进行检测,确保不给Globelmposter3.0
勒索病毒进攻内网以可乘之机。
由于Globelmposter 3.0 采用RSA2048 算法加密,目前
该勒索样本加密的文件暂无解密工具,各通报机制成员单位
发现本单位系统受该勒索病毒感染后,建议采取以下措施,
力争将损失降到最低:一是隔离感染主机。迅速隔离中毒主
机,关闭所有网络连接,禁用网卡,可直接拔网线断网。二
是切断传播途径。Globelmposter 勒索软件之前的变种会利
用RDP(远程桌面协议),如果业务上无需使用RDP 的,建议
关闭RDP;在网络边界位置通过防火墙等设备建立访问控制
策略,封堵入站的3389、445 等端口,防止其他单位的横向、
纵向攻击。三是进行安全加固。对于因业务确需使用SMB 服
务的,要尽量设置较为复杂的密码,建议密码设置为字符串
+特殊字符+数字,并且不要对公网开放,建议使用vpn;及
时升级修复漏洞,更新永恒之蓝补丁等。四是病毒检测查杀。
- 4 -
及时更新杀毒软件病毒库,使用主流杀毒软件、勒索病毒专
杀工具等进行病毒查杀、隔离、删除。重要数据尝试联系数
据恢复厂商;无重要数据的中毒主机,建议重装系统,防止
后门残留。五是立进行数据备份。对重要的数据文件定期进
行异地备份。
报:公安部网络安全保卫局,省互联网信息办公室。
送:本厅相关厅领导,省政府办公厅电子政务处。
发:信息通报机制成员单位,各市(州)公安局网络安全保卫支队。
抄:厅科技信息化处。
审核:邓刚核稿:陈洁编校:李鹏菲

关闭窗口

信息技术中心版权所有  地址:崇州市羊马新城永和大道366号
电话:028-68611940