腾讯安全:域服务器成入侵跳板,企业遭GlobeImposter勒索损失惨重
在古希腊神话中,奥林匹斯山的十二个神受到崇拜,每一个神都有不同的力量,执行所有的工作,并统治世界上的一切。今天,“十二神”不仅存在于神话中,还出现在勒索软件的世界里,加密文件后的后缀被改成了“十二神666”、“十二神865”等。最近,腾讯的安全应急响应中心得到了一家公司的帮助,该公司表示其局域网中的8台服务器受到勒索软件病毒的攻击。在获得帮助后,腾讯的安全专家迅速进行了详细的跟踪分析,证实该公司经历了GlobeImposter勒索软件使用域服务器作为跳板的有针对性攻击。经过调查,病毒通过RDP突发入侵进入,在控制域服务器后,攻击者会扫描内部网进入更多的机器,再次进行勒索软件加密,造成病毒感染的大面积区域。
据腾讯安全技术专家介绍,如果一个企业的域服务器被攻击者控制,整个企业的所有域计算机系统都将处于危险之中,大量企业机密信息可能会被泄露。病毒攻击者使用弱密码爆破和端口扫描等攻击技术来打开内部网的入口,并使用网络嗅探和多协议爆破等工具远程攻击内部网中的其他机器并人为毒害。加密文件完成后,将积极添加扩展后缀,包括十二生肖和十二神系列,并留下勒索文件,以勒索受害者的比特币赎金。目前由GlobeImposter病毒加密的文档在获得密钥之前无法解密。
(图:GlobeImposter勒索软件界面)作为目前信息安全领域最具影响力的恶意软件,勒索软件病毒通常以加密文件等方式勒索钱财。自今年8月以来,GlobeImposter勒索软件感染对能源、互联网和传统行业都有很大影响,感染率最高,达到29%,这主要是因为行业服务器数据值高,帮助流氓黑客提高了赎金成功率。
[第1003号]
(图:GlobeImposter勒索软件最近受感染的行业分布)事实上,这已经不是第一次发生这样的攻击了。GlobeImposter勒索软件于2017年5月首次出现,至今仍在活跃。2018年春节过后,中国有两家医院遭到勒索软件攻击,攻击者侵入医院信息系统,数据库文件被加密,导致医院系统瘫痪,患者无法得到适当治疗,造成无法弥补的损害。为了保护企业用户免受GlobeImposter勒索软件的攻击,腾讯安全防病毒实验室负责人马金松建议企业网络管理员使用弱密码立即更改远程桌面连接,复杂密码可以降低服务器被流氓黑客引爆的可能性。管理员必须为远程桌面服务使用的IP地址设置必要的限制,或自定义默认端口3389以设置防火墙策略,以阻止攻击者的IP连接。计算机组策略还允许您更改“帐户锁定策略”,将登录次数限制在3-10以内,以防止未经授权的黑客破解。运行gpedit. msc,打开组策略编辑器,选择计算机设置->安全设置->帐户策略->帐户锁定策略,然后将帐户锁定阈值设置得稍低。
(图:账户锁定阈值设置)企业用户可以部署腾讯控制点终端安全管理系统和腾讯先进的威胁检测系统,及时检测针对企业内联网的爆炸性攻击,提供行业解决方案,为企业用户的网络安全提供全面、立体的保护。对于个人用户,我们建议用户实时打开腾讯电脑管家等主流安全软件,增强保护,备份重要文档,并启用文档保管功能,有效防止此类病毒攻击。