@gsagr.ac.cn
关于GlobeImposter勒索病毒的风险提示公告
来源:农业经济与信息研究所  作者:  日期:2018-09-07  点击数:

    一、基本情况
    近期,多家技术机构监测发现,利用GlobeImposter勒索病毒发起的攻击呈上升趋势。目前已有党政机关业务系统感染GlobeImposter勒索病毒,导致数据被加密,业务中断。此次GlobeImposter勒索病毒攻击的主要方式是暴力破解RDP远程登录密码后,再进一步在内网横向渗透。与近期其他版本勒索病毒主要针对服务器以及数据库文件加密不同,此次爆发的GlobeImposter勒索病毒并不区分被入侵机器是否为服务器,一旦入侵成功后直接感染。
    二、影响和危害
    GlobeImposter勒索病毒感染安装有Windows系统的电脑主机后,会加密Windows系统中的磁盘文件,且更改被加密文件的后缀名。GlobeImposter勒索病毒采用了RSA2048高强度加密方式,目前尚未发现有效的破解方法和破解工具。
    三、建议应对措施
    对于尚未感染GlobeImposter勒索病毒的系统,要提前备份关键业务系统,避免遭遇勒索病毒破坏之后业务系统出现严重损失。对于已经感染该病毒的系统,建议在内网下线处理,病毒清理完毕后再重新接入网络。对于内网中其他未中毒的电脑,建议使用由数字和特殊字符组合的复杂密码,避免攻击者暴力破解成功。同时,及时修复操作系统补丁,避免因漏洞导致攻击入侵事件发生。终端用户若不使用远程桌面登录服务,建议关闭。局域网内已发生勒索病毒入侵的,可暂时关闭135、139、445端口(暂时禁用Server服务),以减少远程入侵的可能。另外用户在使用联网的计算机系统时应注意以下几点:
    1、不要点击来源不明的邮件以及附件;
    2、及时升级系统,打全系统补丁;
    3、采用高强度的口令,避免使用弱口令密码;
    4、尽量关闭不必要的文件共享权限和端口;
    5、安装专业的终端/服务器安全防护软件;
    6、对重要的数据文件定期进行非本地备份。

 

                                                院网络管理中心
                                                 2018年9月6日
                               

版权所有©甘肃省农业科学院陇ICP备15002874号 主办:甘肃省农业科学院
建议屏幕分辨率:1024x768 浏览器版本:IE8.0制作维护:甘肃省农业科学院网络中心
邮编:730070 地址:兰州市安宁区农科院新村1号