安全公告-威尼斯人2299

　　据相关部门通报，近日国内多家单位遭受globeimposter3.0勒索病毒攻击，导致相关业务文件被加密，对业务的连续性造成严重影响。通过对本次勒索攻击事件的分析，发现病毒程序通过破解服务器远程桌面端口服务口令后进行渗透，并释放勒索恶意代码，具有极强的破坏性及针对性。

　　globelmposter3.0勒索病毒程序用自带的密码本破解服务器远程桌面3389端口服务的口令，破解后实现自动登录并把病毒体拷贝到服务器上运行，将本地文档加密勒索。目前该勒索样本加密的文件暂无解密工具，文件被加密后会被加上*4444系列后缀，在被加密的目录下会生成一个示受害者的个人id序列号以及黑客的1066vip威尼斯的联系方式的文件。该勒索病毒会把本机作为跳板，扫描内网开放的3389服务，继续感染内网的服务器。

　　目前该勒索病毒的主要应对措施如下：

　　（一）隔离感染主机

　　迅速隔离中毒主机，关闭所有网络连接并禁用网卡，紧急情况下可直接拔网线断网。

　　（二）切断传播途径

　　globelmposter勒索病毒之前的变种会利用远程桌面协议，如果业务上无需使用远程桌面协议，建议将其关闭。当出现此类事件时，使用防火墙等安全保护技术措施对3389等端口进行封堵，防止病毒扩散。

　　（三）开展安全加固

　　1.服务器、终端防护，所有服务器、终端应强行实施复杂密码策略，杜绝弱口令；禁用通用密码管理所有设备；安装杀毒软件、终端安全管理软件并及时更新病毒库；及时安装漏洞补丁；服务器开启关键日志收集功能，为安全事件的追踪溯源提供基础。

　　2.对应用系统进行安全渗透测试与加固，保障应用系统自身安全可控；对业务系统及数据及时进行备份，并验证备份系统及备份数据的可用性；建立安全灾备预案，一但核心系统遭受攻击，需要确保备份业务系统可以立即启用。同时，做好备份系统与主系统的安全隔离工作，避免主系统和备份系统同时被攻击，影响业务连续性。