【预警】Globelmposter 3.0勒索病毒变种攻击持续高发,海峡信息教您如何应对

        Globelmposter 3.0病毒，采用RSA加密算法，锁定系统上的重要文件，其加密后文件后缀有：.*4444、.*TRUE、*.ALC0*、RESERVE、*.SEXY、*.DOC等，且被加密系统的每个文件夹中都会存在勒索通知信息文件：how_to_back_files.html。目前，Globelmposter 3.0勒索病毒没有公开的解密工具。

1.  立即隔离已被感染的计算机；

2. 在互联网边界或局域网边界处，暂时关闭3389（RDP）端口和445（SMB）端口连接，或仅对业务IP开放必要的连接端口；

使用黑盾防火墙的用户，应该检查各网络边界、骨干节点的防火墙安全配置策略，根据业务情况设置访问控制策略，阻断勒索病毒常用传播端口（包括3389、445、135-139等），排查不必要的数据库开放端口[如1433（SQLServer）、3306（MySQL）、1521（Oracle）等]。

3. 被锁定文件的计算机，建议备份需要的数据文件,并重装操作系统；

4. 其他已隔离未锁定文件的计算机应进行全盘查杀。

1)  网页、陌生邮件、互联网通信工具中不明链接或附件，不轻易点击或下载；

2)  从官网下载正版、开源可信的程序及文件，不使用破解、盗版、游戏外挂等来路不明的程序；

3)  为计算机安装杀毒软件，定期更新病毒库；

4)  运行程序前应经过病毒查杀且在测试环境先进行测试。

1)  不对互联网开放RDP远程桌面及SMB协议，应使用VPN接入+堡垒机运维的登录方式；

2)  及时检查各自门户网站、APP系统等信息系统的安全状态，及时修复安全漏洞；

3)  严格控制对互联网提供应用的服务器其访问内网的权限，禁止其访问内网的RDP和SMB服务。

4)  加强安全域之间的安全防护与安全策略细粒度，如在网络层控制3389、445等危险端口的访问，仅对堡垒机开放3389端口以及对业务IP开放445端口。

5)  通过APT、IDS、IPS等安全设备，实时监控并及时告警正在发生的3389、445等端口大流量攻击行为；

1)  在操作系统上使用IPsec脚本禁用3389和445端口，或仅对业务IP开放必要的端口；

2)  为每台计算机登录账号设置独立的强口令（口令长度8位以上，口令由数字、大小字母、特殊符号字符组成）；

3) 及时更新系统安全补丁，确保每台计算机的MS17-010等高危漏洞的补丁已修复。（不能修复安全补丁的，在业务允许的情况下，用IPsec策略来禁用445等共享端口）；

黑盾云平台补丁下载地址： http://www.heiduncloud.cn/pub_article/articles.html?id=402&arctype_id=13&topics_id=4 

4)  安装杀毒软件，并更新病毒库到最新版本，杀毒软件的策略修改及退出等操作需设置独立的密码。

1)互联网边界防火墙应检查，基础策略-->地址转换-->目标地址转换，查看是否有对互联网映射RDP 3389端口，通过匹配数可初步判断是否异常；建议停用RDP映射。

2) 互联网边界防火墙应检查，基础策略-->访问控制-->过滤规则，查看是否有对互联网开放RDP 3389端口的策略，建议停用相关规则。

3) 所有防火墙建议添加策略，阻断勒索病毒常用的端口135、137、139、445、3389，基础策略-->访问控制-->过滤规则：

A、点击“添加”，添加规则：

B、需添加一条任意到任意，服务为“勒索病毒常用端口”的阻断规则：

位置：选择顶部

源地址：任意

目标地址：任意

 服务：通过右边+直接新建一个服务组，详见下一步说明

 动作：选择“拒绝”

C、点击“+”，定义服务：

服务名称：可自定义，如用“勒索病毒常用端口”

服务类型：选择服务组；

服务：输入tcp,0-65535:135-139，点击右边加号+添加；

输入tcp,0-65535:445-445，点击右边加号+添加；

输入udp,0-65535:135-139，点击右边加号+添加；

输入udp,0-65535:445-445，点击右边加号+添加；

输入tcp,0-65535:3389-3389

点击“确定”，完成服务对象配置

D、确定完成阻断规则配置，并保存：

以上配置为黑盾防火墙V3.5.5配置，其它版本配置可详询海峡公司技术服务中心0591-87303706