有关防范新型GlobeImposter勒索病毒

《有关防范新型GlobeImposter勒索病毒》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、关于防范新型GlobeImposter勒索病毒的预警通知各有关部门：近期GlobeImposter勒索病毒爆发，此次攻击目标主要是开启远程桌面服务的服务器，攻击者通过暴力破解服务器密码，对内网服务器发起扫描并人工投放勒索病毒，导致文件被加密，具有极强的破坏性及针对性，对重要系统和数据造成严重损失。希望各政府部门加强信息安全管理，做好政府部门信息安全加固，部门信息安全管理负责人按照病毒应急处置建议，着重对部门主机以及安全设备关闭不必要的端口，下载杀毒软件及时更新病毒库并全盘扫描杀毒。请各单位重视网络信

2、息安全工作，认真做好信息安全加固和安全防护工作。联系人：沈雁苇联系电话：0512-68616336卢森联系电话：0512-68616300苏州市信息中心2018年8月27日附件：病毒应急处置建议一、服务器开启本地安全策略或开启防火墙，关闭TCP.UDP3389端口，如需远程运维开启具体IP地址允许，其他所有地址拒绝访问。如通过市信息中心VPN远程运维的，需将以下地址添加允许。360VPN58.210.114.10，2.32.244.1天融信VPN58.210.114.101，2.32.244.1天融

3、信VPN221.224.13.83，2.32.244.1堡垒机10.32.252.236二、所有服务器、终端立即修改密码！应强行实施复杂密码策略，杜绝弱口令使用通用密码管理所有机器（本次新型勒索病毒主要通过远控内网服务器，对内网服务器进行暴力破解，并扩散，之前勒索补丁对本次没有作用）三、仍未关闭感染永恒之蓝勒索病毒的TCP、UDP，135、139、445的服务器端口，请立即关闭。开启本地安全策略或系统防火墙。如确实需使用，安装勒索病毒，永恒之蓝补丁。（下载链接http://b.360.cn/othe

4、r/onionwormfix）开启具体IP地址允许，其他所有地址拒绝，包括政务网地址，服务器内网地址。如需对其他服务器，或者办公电脑访问，须向市信心中心提出申请，填写申请单并盖章（否则端口将被关闭），经市信息中心扫描确认记录后，防火墙点对点开放。四、不需要访问互联网的服务器，本地安全策略或防火墙关闭访问互联网。五、服务器安装杀毒软件，并更新病毒库。立即进行全盘扫描杀毒，开启自动防御。杀毒软件下载链接（选择对应版本下载安装）：l虚拟化服务器版本：https://2.32.249.105:8443/lo

5、gin（托管在市信息中心机房的打开链接，点击继续浏览此网页，无需登录，选择红圈处对应版本）l物理服务器版本：http://10.32.0.3/（托管在市信息中心机房的下载此版本）l标准版本：http://sd.360.cn/（非托管在市信息中心机房，或者托管在市信息中心非政务网地址服务器下载此版本）六、对业务系统及数据进行及时备份，并验证备份系统及备份数据的可用性。（重点做好异地备份，本地备份容易被病毒感染）七、不使用不明来历的U盘、移动硬盘等存储设备；不打开来历不明的邮件。不接入公共网络，同时机构

6、的内部网络中不运行不明来历的设备。八、对内网安全域进行合理划分。各个安全域之间限制严格的ACL，限制横向移动的范围。重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御，严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务。