关于勒索病毒 GlobeImposter 最新变种的预警通告

一.背景介绍

近日，部分单位内部网络受到勒索病毒攻击，经确认是“GlobeImposter”勒索病毒的最新变种，该勒索病毒采用高强度加密方式加密用户文件。

攻击者在进入内网后，利用黑客工具进行内网渗透并选择高价值目标服务器进行人工投放勒索病毒。为防止其它单位受到该勒索病毒的攻击，需积极应对。

1、病毒情况描述

本次爆发的勒索病毒，它会使用高强度加密方式加密磁盘文件并将后缀名篡改为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE 等。现已确认，在没有病毒作者私钥的情况下无法恢复被加密的文件。

最终该病毒将引导受害者通过邮件与勒索者进行联系，要求受害者将被加密的图片或文档发送到指定的邮箱进行付费解密。

2、风险等级

风险等级：高

二.解决方案

1、通过防火墙、UTM设备进行防御

通过在设备上配置阻断策略来禁止445和3389端口的通信，以防火墙为例，具体方法如下：

1）添加策略：

点击“防火墙”—“阻断策略”在阻断策略页签中点击“添加”，如下图所示：

2）编辑策略内容：

访问权限为“拒绝”、协议类型为“IP”、IP协议类型为“TCP”、源地址和目的地址为“any”、目的端口为“445”，填写好后点击“确定”。如下图所示：

根据上述方法同样的添加一条禁止目的端口为3389的访问策略。

3）添加完成后的效果：

2.通过主机安全配置

1） 开启Windows 防火墙，阻止 445、3389 端口。必须要通过 RDP 管理的主机，建议更换 RDP 服务端口号。

2） 检查并修改计算机上的弱密码。

3）使用杀毒软件尽快做好病毒检测与查杀工作。

4）对业务系统及数据进行及时备份。

5）下面是关闭3389、445、139、135等端口的方法。

第一步, 点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建IP安全策略”（如下图），于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。

第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮（如上图），这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和UDP 135、139、445 端口，为它们建立相应的筛选器。重复以上步骤添加TCP 1025、2745、3127、6129、3389端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。

第四步，在“新规则属性”对话框中，选择“新 IP筛选器列表”，可查看已激活的筛选器，然后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作（下图）：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

第五步,进入“新规则属性”对话框，点击“新筛选器操作”，选中“阻止”筛选器，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“分配”。

3．其他排查方案

1）服务器终端排查

A. 强制使用高强度密码策略；

B. 针对不同机器，选用不同的管理密码；

C. 开启系统安全更新，及时安装安全漏洞补丁；

D. 建议服务器终端开启日志记录功能，为追踪溯源提供基础。

2） 网络层面防护建议

A.建议更换 RDP 服务端口号，在核心交换机或防火墙上，阻止默认RDP端口(3389)的流量。

B. 排查可能存在的内外网连通点，配置防火墙策略进行安全隔离。

三. 提供本地化安全专家应急及处置服务

高正信息是具有广东省计算机信息系统安全服务资质的企业，也是江门市公安局网警支队授权的本地区信息安全应急响应支撑机构。在江门市最早开展网络安全方面的研究与应用，配备优秀的网络安全专家，具有广东省信息系统安全服务资质和广东省安全技术防范系统资质，能够快速反应解决突发网络安全情况和问题。根据用户需求，提供预警通报、安全咨询、安全加固服务、定期安全巡检服务、网络安全系统建设、数据安全系统建设等安全服务，形成网络安全保障的业务闭环，为客户提供各类安全保障服务。

服务热线：

18924681128 李先生

18922021181 彭先生