勒索病毒再度來襲，注意了………

重要事情不僅要說三遍，還要說在最前面！！！

數據備份很重要，切記異地備份重要數據！中勒索病毒，一點數據都恢復不了！

近日，一種新型勒索病毒-GlobeImposter在網上傳播，一旦感染該勒索病毒，網路系統的資料庫文件將被病毒加密，只有支付贖金才能恢復文件。據媒體報道，湖北襄陽南漳縣人民醫院、湖南省兒童醫院信息系統分別於2月23日和2月24日遭受黑客攻擊，醫院伺服器疑感染GlobeImposter勒索病毒，導致醫院診療系統大面積癱瘓，挂號、收費、診療等業務均無法正常運轉。

血的教訓：一用戶中了勒索病毒後，用友程序和數據被加密！

究竟什麼是GlobeImposter勒索病毒？它以什麼形式攻擊，我們又該如何預防呢？別急，接著往下看！

1

GlobeImposter勒索病毒的危害

GlobeImposter是目前流行的一類勒索病毒，它會加密磁碟文件並篡改後綴名為.Techno、.DOC、.CHAK、.FREEMAN、.TRUE等形式。由於其採用高強度非對稱加密方式，受害者在沒有私鑰的情況下無法恢復文件，如需恢復重要資料只能被迫支付贖金GlobeImposter勒索病毒攻擊相對普通的勒索病毒首要區別在於：該病毒不具備主動傳播性，是由黑客滲透進入內網後，在目標主機上人工植入，該病毒具有極強的破壞性和針對性，目前很難被破解。

2

GlobeImposter勒索病毒的攻擊手法

經分析，該病毒的主要攻擊步驟如下：第一步對伺服器進行滲透，黑客通過弱口令爆破、埠掃描等攻擊手法，利用3389等遠程登陸開放埠，使用自動化攻擊腳本，用密碼字典暴力破解管理員賬號。第二步對內網其他機器進行滲透，攻擊者在打開內網突破口後，會在內網對其他主機進行口令爆破，利用網路嗅探、多協議爆破等工具實施爆破。第三步植入勒索病毒，在內網橫向移動至一台新的主機後，會嘗試進行手動或用工具卸載主機上安裝的防護軟體，手動植入勒索病毒。第四步運行病毒，病毒自動執行程序，對電腦內文件進行加密，完成病毒攻擊過程。

3

工作提示

經安全專家分析，存在弱口令且Windows遠程桌面服務（3389埠）暴露在互聯網上、未做好內網安全隔離、Windows伺服器、終端未部署或未及時更新殺毒軟體等漏洞和風險的信息系統更容易遭受該病毒侵害。

針對此情況，安全專家提示如下：

一是及時加強終端、伺服器防護，所有伺服器、終端應強行實施複雜密碼策略，杜絕弱口令；安裝殺毒軟體、終端安全管理軟體並及時更新病毒庫；及時安裝漏洞補丁；伺服器開啟關鍵日誌收集功能，為安全事件的追溯提供基礎。

二是嚴格控制埠管理，盡量關閉不必要的文件共享許可權以及關閉不必要的埠，如：445,135,139,3389；建議關閉遠程桌面協議。

三是強化業務數據備份，對業務系統及數據進行及時備份，並驗證備份系統及備份數據的可用性；建立安全災備預案，同時，做好備份系統與主系統的安全隔離，避免主系統和備份系統同時被攻擊，影響業務連續性。

重要事情說三遍，數據備份很重要，切記異地備份重要數據！中勒索病毒，一點數據都恢復不了！

關於我們

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！