一、基本情況
近期,多家技術機構監測發現,利用GlobeImposter勒索病毒發起的攻擊呈上升趨勢。目前已有黨政機關業務系統感染GlobeImposter勒索病毒,導致數據被加密,業務中斷。此次GlobeImposter勒索病毒攻擊的主要方式是暴力破解RDP遠程登錄密碼后,再進一步在內網橫向滲透。與近期其他版本勒索病毒主要針對服務器以及數據庫文件加密不同,此次爆發的GlobeImposter勒索病毒并不區分被入侵機器是否為服務器,一旦入侵成功后直接感染。
二、影響和危害
GlobeImposter勒索病毒感染安裝有Windows系統的電腦主機后,會加密Windows系統中的磁盤文件,且更改被加密文件的后綴名。GlobeImposter勒索病毒采用了RSA2048高強度加密方式,目前尚未發現有效的破解方法和破解工具。
三、建議應對措施
對于尚未感染GlobeImposter勒索病毒的系統,要提前備份關鍵業務系統,避免遭遇勒索病毒破壞之后業務系統出現嚴重損失。對于已經感染該病毒的系統,建議在內網下線處理,病毒清理完畢后再重新接入網絡。對于內網中其他未中毒的電腦,建議使用由數字和特殊字符組合的復雜密碼,避免攻擊者暴力破解成功。同時,及時修復操作系統補丁,避免因漏洞導致攻擊入侵事件發生。終端用戶若不使用遠程桌面登錄服務,建議關閉。局域網內已發生勒索病毒入侵的,可暫時關閉135、139、445端口(暫時禁用Server服務),以減少遠程入侵的可能。