各辖市、区人民政府,市各委办局,市各公司、直属单位:
近日,国内某机构遭受 GlobeImposter勒索病毒攻击,业务相关的重要文件被加密导致业务受到严重影响。本次攻击与普通勒索事件的首要区别在于攻击者在突破防护边界后手工积极进行内网渗透,绕过安全防护,并释放勒索恶意代码。该勒索病毒影响范围广,具有极强的破坏性及针对性,各单位应高度重视。
影响范围:
1. 存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。
2. 内网Windows终端、使用相同或者少数几组口令的服务器。
3. Windows服务器、未部署或未及时更新杀毒软件的终端。
处置建议:
1. 所有服务器、终端应强行实施复杂密码策略,杜绝弱口令。
2. 杜绝使用通用密码管理所有机器。
3. 安装杀毒软件、终端安全管理软件并及时更新病毒库。
4. 及时安装漏洞补丁。
5. 服务器开启关键日志收集功能,为安全事件的追踪溯源提供基础。
6.对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控。
7. 对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性。
8. 建立安全灾备预案,一旦核心系统遭受攻击,需要确保备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,避免主系统和备份系统同时被攻击,影响业务连续性。
9. 可使用以下工具进行检测:
http://dl.b.360.cn/tools/FocusTool.exe
常州市网络与信息安全协调小组办公室
2018年2月28日
|