设为首页收藏本站 开启辅助访问
搜索
    查看: 738|回复: 0

    提醒医疗机构:新型勒索病毒变种来袭

    [复制链接]
    发表于 2018-11-12 15:09:32 | 显示全部楼层 |阅读模式
    近期,GandCrab勒索家族在国内呈现爆发趋势,其GandCrab5.0.4最新变种已造成国内部分医疗行业出现业务瘫痪,影响医院正常的工作秩序,给大量患者的诊治制造了困扰。安全狗攻防实验室第一时间关注了事件进展。根据最新的研究分析,我们总结出了一些防护建议,敬请用户知晓。
    勒索病毒简介
    今年以来,GandCrab勒索家族持续活跃,安全狗在病毒事件曝光后即进行了跟踪研究,并整理了针对性的解决方案,用户可关注安全狗微信公众号获取。
    GandCrab勒索家族包含有GandCrab4.0、GandCrab5.0、GandCrab5.0.3等变种,福建、浙江、山西、吉林、贵州、天津多省份均有感染案例。近期,新的迹象表明GandCrab5.0.3已经升级到版本GandCrab5.0.4,并有多家医疗机构因最新变种导致业务瘫痪。该变种同样采用RSA+AES加密算法,将系统中的大部分文档文件加密为随机后缀名的文件,然后对用户进行勒索。
    最新变种仍然主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击,但会加密局域网共享目录文件夹下的文件。
    处置建议
    针对该家族的勒索病毒,可以通过以下手段尽可能地预防
    1、及时给电脑打补丁,修复漏洞。
    2、对重要的数据文件定期进行非本地备份。
    3、不要点击来源不明的邮件附件,不从不明网站下载软件。
    4、尽量关闭不必要的文件共享权限。
    5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
    与此同时,结合安全狗的相关安全产品和技术,我们推出了更有针对性的,从事前、事中和事后三个阶段来处理和应对的专项解决方案。
    事前加固
    1、检测并修复弱口令
    2、制定严格的端口管理策略
    3、设置防爆破策略
    4、一键更新漏洞补丁
    5、病毒木马检测
    事中防御
    1、通过对网络内部主机的进程、会话、资源等指标参数进行监测以发现异常的可疑行为。
    2、结合威胁情报提供的远控或高危黑IP,感知可能正在发生的攻击事件
    事后处置
    1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
    2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。可开启IPS和僵尸网络功能进行封堵。
    3、查找攻击源:手工抓包分析或借助安全狗啸天态势感知平台快速查找攻击源,避免更多主机持续感染。
    4、查杀病毒:推荐使用安全狗进行病毒查杀,快速分析流行事件,实现终端威胁闭环处置响应。

    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|小黑屋|Archiver|手机版|安全狗论坛-汇聚安全的力量 ( 闽ICP备14014139号-1  

    GMT+8, 2019-10-21 15:13 , Processed in 0.087245 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表