域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過

近期,GandCrab勒索家族在國(guó)內(nèi)呈現(xiàn)爆發(fā)趨勢(shì),其GandCrab5.0.4最新變種已造成國(guó)內(nèi)部分醫(yī)療行業(yè)出現(xiàn)業(yè)務(wù)癱瘓,影響醫(yī)院正常的工作秩序,給大量患者的診治制造了困擾。安全狗攻防實(shí)驗(yàn)室第一時(shí)間關(guān)注了事件進(jìn)展。根據(jù)最新的研究分析,我們總結(jié)出了一些防護(hù)建議,敬請(qǐng)用戶知曉。

勒索病毒簡(jiǎn)介

今年以來(lái),GandCrab勒索家族持續(xù)活躍,安全狗在病毒事件曝光后即進(jìn)行了跟蹤研究,并整理了針對(duì)性的解決方案,用戶可關(guān)注安全狗微信公眾號(hào)獲取。

GandCrab勒索家族包含有GandCrab4.0、GandCrab5.0、GandCrab5.0.3等變種,福建、浙江、山西、吉林、貴州、天津多省份均有感染案例。近期,新的跡象表明GandCrab5.0.3已經(jīng)升級(jí)到版本GandCrab5.0.4,并有多家醫(yī)療機(jī)構(gòu)因最新變種導(dǎo)致業(yè)務(wù)癱瘓。該變種同樣采用RSA+AES加密算法,將系統(tǒng)中的大部分文檔文件加密為隨機(jī)后綴名的文件,然后對(duì)用戶進(jìn)行勒索。

最新變種仍然主要通過RDP爆破、郵件、漏洞、垃圾網(wǎng)站掛馬等方式進(jìn)行傳播,其自身不具備感染傳播能力,不會(huì)主動(dòng)對(duì)局域網(wǎng)的其他設(shè)備發(fā)起攻擊,但會(huì)加密局域網(wǎng)共享目錄文件夾下的文件。

處置建議

針對(duì)該家族的勒索病毒,可以通過以下手段盡可能地預(yù)防

1、及時(shí)給電腦打補(bǔ)丁,修復(fù)漏洞。

2、對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。

3、不要點(diǎn)擊來(lái)源不明的郵件附件,不從不明網(wǎng)站下載軟件。

4、盡量關(guān)閉不必要的文件共享權(quán)限。

5、更改賬戶密碼,設(shè)置強(qiáng)密碼,避免使用統(tǒng)一的密碼,因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破,多臺(tái)遭殃。

與此同時(shí),結(jié)合安全狗的相關(guān)安全產(chǎn)品和技術(shù),我們推出了更有針對(duì)性的,從事前、事中和事后三個(gè)階段來(lái)處理和應(yīng)對(duì)的專項(xiàng)解決方案。

事前加固

1、檢測(cè)并修復(fù)弱口令

2、制定嚴(yán)格的端口管理策略

3、設(shè)置防爆破策略

4、一鍵更新漏洞補(bǔ)丁

5、病毒木馬檢測(cè)

事中防御

1、通過對(duì)網(wǎng)絡(luò)內(nèi)部主機(jī)的進(jìn)程、會(huì)話、資源等指標(biāo)參數(shù)進(jìn)行監(jiān)測(cè)以發(fā)現(xiàn)異常的可疑行為。

2、結(jié)合威脅情報(bào)提供的遠(yuǎn)控或高危黑IP,感知可能正在發(fā)生的攻擊事件

事后處置

1、隔離感染主機(jī):已中毒計(jì)算機(jī)盡快隔離,關(guān)閉所有網(wǎng)絡(luò)連接,禁用網(wǎng)卡。

2、切斷傳播途徑:關(guān)閉潛在終端的SMB 445等網(wǎng)絡(luò)共享端口,關(guān)閉異常的外聯(lián)訪問?？砷_啟IPS和僵尸網(wǎng)絡(luò)功能進(jìn)行封堵。

3、查找攻擊源:手工抓包分析或借助安全狗嘯天態(tài)勢(shì)感知平臺(tái)快速查找攻擊源,避免更多主機(jī)持續(xù)感染。

4、查殺病毒:推薦使用安全狗進(jìn)行病毒查殺,快速分析流行事件,實(shí)現(xiàn)終端威脅閉環(huán)處置響應(yīng)。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！