病毒介绍
经分析,此次信息系统爆发的勒索病毒类型为近期热门的GlobeImposter家族勒索病毒最新变种3.0版本,其特征为加密并破坏数据库文件,病毒将加密后的文件重命名为.Ox4444扩展名,并要求用户通过邮件沟通赎金跟解密密钥等。由于其加密算法采用无法反向的RSA+AES算法,因此加密后文件无法免费解密。
GlobeImposter家族病毒区别于早期的Wannacry病毒,其传播途径主要通过3389端口,通过RDP远程桌面协议进行口令暴力破解从而***网络;但此次病毒事件中发现部分单位网络中存在445端口传播迹象,疑似混杂了GlobeImposter和Wannacry两种病毒,因此处理中需同时考虑两种病毒的情况。
应急处置思路
针对已中毒的单位,需按照以下方案进行应急处置:
1. 迅速隔离中毒主机,可断网;
2. 关闭所有对外映射的3389端口和内部不必要的445端口;
3. 在边界位置通过防火墙等设备建立访问控制策略,封堵入站的3389端口,防止其他单位的横向、纵向***;
4. 针对此次部分某某单位发现的病毒,建议重要服务器无业务需要情况下关闭135,139,445端口,更新补丁。
5. 如果要使用SMB服务器尽量设置较为复杂的密码,建议密码设置为字符串+特殊字符+数字,并且不要对公网开放,建议使用***;
6. 这些后缀是最新发现GlobeImposter 3.0变种后缀 .China4444 .Help4444 .Rat4444 .Ox4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444 .Rooster4444 .Dog4444 .Pig4444