近期浪潮安全技术团队跟踪发现GlobeImposter3.0变种勒索病毒在全国各地医院及部分企业进行大范围传播。GlobeImposter勒索病毒家族向来以垃圾邮件、扫描渗透和远程桌面服务密码暴破方式进行传播。目前已获悉国内多家医院系统中毒,建议全国各医院、关键行业做好安全防护,警惕GlobeImposter 勒索,并可联系浪潮技术人员或市场人员,快速获取SSR针对勒索软件的主动防御方案。
距离去年9月份GlobeImposter勒索病毒肆虐,仅仅过去半年时间,GlobeImposter3.0变种病毒再度猖獗漫延。浪潮SSR安全技术团队在第一时间针对GlobeImposter3.0变种病毒进行跟踪,并完善SSR5.0主动防御策略。
值得一提的是,SSR采用内核级主动防御技术理念,可有效避免恶意软件植入系统,其强大的软件白名单机制,将杜绝所有未识别的和恶意软件执行,保护业务和数据免遭恶意软件的破坏。
浪潮SSR安全技术团队制定SSR5.0主动防御策略
新病毒采用更强加密算法,无秘钥文件无法恢复
通过分析本次捕获的最新样本并未发现样本具备其他新的传播方式。该家族加密的后缀名也随着变种的不同在进行变化,已经出现的变种加密后的后缀名有:ox4444 help4444 all4444 china4444 monkey4444 snake4444 Rat4444 Tiger4444 Rabbit4444 Dragon4444 Horse4444 Goat4444 Rooster4444 Dog4444 Pig4444等,该变种依旧是利用RSA+AES加密的方式,用户中招后无法对文件进行解密,提醒广大用户及时采取应对措施。
勒索信息文件
浪潮针对勒索病毒的防护建议
针对已部署SSR 5.0产品客户的防护建议:一是将主动防御功能调整至正常模式,并将将防护策略级别调整至“高级”;二是开启应用软件管控功能,防止其他变种的攻击;三是开启网络防护功能,并设置网络访问控制策略,禁止135、139、445、3389端口的连接,防止二次传播;四是部署SSR5.0以下版本的客户,请尽快升级到最新版本。(点击了解更多SSR针对GlobeImposter勒索软件防护信息)
针对未部署SSR 5.0产品客户的防护建议:
1)避免在服务器中使用过于简单的口令。登录口令尽量采用大小写字母、数字、特殊符号混用的组合方式,并且保持口令由足够的长度。同时添加限制登录失败次数的安全策略并定期更换登录口令。
2)多台机器不要使用相同或类似的登录口令,以免出现“一台沦陷,全网瘫痪”的惨状。
3)重要资料一定要定期隔离备份。此处尤其注意隔离,在以往的反馈案例中从来不乏确有备份,但由于在同一网络内,导致备份服务器一同被加密的情况。
4)及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。
5)关闭非必要的服务和端口如135、139、445、3389等高危端口。
6)严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。
7)提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件。
浪潮SSR主机安全解决方案,为主机安全保驾护航
浪潮SSR是针对政府、能源、交通、金融、教育、大中型企业等行业云和私有云数据中心物理主机系统、虚拟主机系统、虚拟化软件、PC业务终端,以及自助服务智能终端设备等领域全自主研发的业界领先的集成化主机安全软件产品。该产品采用内核级主动防御技术、应用软件自动化识别和白名单控制技术、增强外设(如U盘、移动硬件等)管控技术、全面的合规性检测和修复技术,以及完善的集中管理和安全可视化技术等,为客户提供一体化、集成化、先进的主机安全平台解决方案。
浪潮专注主机安全十余年,SSR产品更值得信赖。浪潮SSR已服务于我国80%以上部委和行业客户,并曾服务于北京奥运会、上海世博会、广州亚运会、山东全运会、深圳大运会等优异赛事及活动
内核级主动防御技术,有效免疫已知和未知恶意代码入侵。浪潮SSR采用内核级安全加固技术对操作系统实施主动防御,对关键文件、进程、服务、网络、安全配置等实施主动控制。SSR可确保从文件创建、运行、资源访问到结束等全过程的把控,做到让病毒木马进不来,进来也不能运行,运行也无法破坏,从根本上免疫各种已知未知木马、rootkit、蠕虫病毒、间谍软件等恶意代码的入侵。
六重细粒度防护,全方位提升主机安全管控能力。浪潮SSR采用内核级主动防御技术、应用软件自动化识别和白名单控制技术、增强外设(如U盘、移动硬件等)管控技术、全面的合规性检测和修复技术,以及完善的集中管理和安全可视化技术等,提供6重主机安全防护措施,帮助客户全方位提升主机安全管控能力,保障业务持续稳定运行。
浪潮SSR 6重防护措施
提升系统安全级别,增强合规性。浪潮SSR在操作系统内核层实现了安全标记和强制访问控制机制,与用户系统自身的自主访问控制相融合,为系统和用户重要应用提供更强的约束和更高的安全控制级别,同时提供三权分立、完整性校验、增强身份鉴别等功能,能够帮助用户轻松满足三级信息系统安全建设时主机层的合规要求。
全网安全可视化及大规模集中管理。浪潮SSR可针对全网部署SSR客户端的主机系统实施统一的安全监控和可视化管理。通过地图监控模式可全面感知各类系统的安全状态,快速定位全网高危资源及安全事件,提高安全应急响应的能力。同时,浪潮SSR还提供丰富的安全趋势分析、安全TOP分析、实时安全动态等分析和告警能力,可帮助管理员及时识别系统的违规操作和安全风险。