网警
网络与信息安全通报3月
发布:桂林市公安局    时间:2019/3/11 16:54:41

关于Globelmposter3.0变种勒索病毒在卫生医疗系统传播的预警通报

 

近日,Globelmposter勒索病毒3.0变种再次席卷全国各地医院,受影响的系统,数据库文件被加密破坏。由于Globelmposter 3.0采用RSA2048算法加密,目前该勒索样本加密的文件暂无解密工具,文件被加密后会被加上*4444系列后缀。在被加密的目录下会生成一个名为“HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。目前GlobeImposter 3.0已在多个省份形成规模爆发趋势,建议我市各医院做好安全防护,警惕Globelmposter 勒索。

鉴于该勒索病毒危害程度高,影响较大,请各单位要及时安装系统补丁,消除安全隐患,提高安全防范能力,发现系统设备感染和遭攻击情况及时向公安机关报告。

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议保存好系统日志等相关记录和证据,及时向公安机关报告,并采取以下措施:

一是隔离感染主机。迅速隔离中毒主机,关闭所有网络连接,禁用网卡,可直接拔网线断网。

二是切断传播途径。1、Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议),如果业务上无需使用RDP的,建议关闭RDP。或者对3389等端口进行封堵,防止扩散。2、在专网级联边界位置通过防火墙等设备建立访问控制策略,封堵入站的3389、445等端口,防止其他单位的横向、纵向攻击。

三是安全加固。1、如果要使用SMB服务器尽量设置较为复杂的密码,建议密码设置为字符串+特殊字符+数字,并且不要对公网开放。2、及时给电脑打补丁,修复漏洞。

四是病毒检测查杀。下载查杀工具,进行检测查杀。对于中毒主机,建议重装系统,防止后门残留。

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

五是数据备份。对重要的数据文件定期进行非本地备份。