近日,多个行业发现内部服务器感染新型勒索病毒的情况,经分析为Globelmposter3.0或相关变种,请广大师生提高信息安全防范意识,提前做好防范工作。
Globelmposter3.0勒索病毒的工作原理是,病毒程序用自带的密码本破解服务器远程桌面3389端口服务的口令,破解后实现自动登录并把病毒体拷贝到服务器上运行起来,运行后首先把本地文档都加密勒索,然后再把本机作为跳板,扫描内网开放的3389服务,继续层层感染内网服务器。
由于Globelmposter3.0采用RSA+AES算法加密,目前该勒索病毒加密的文件暂无解密工具,请使用以下手段加强应急防护,避免出现被勒索状况。
1、不点击来源不明的邮件以及附件,不轻易打开和解压缩附件,尤其是如下扩展名的附件:.js,.vbs,.exe,.scr,.bat,.rar,.zip等;
2、更改默认Administrator管理帐户,禁用GUEST来宾帐户;更改复杂密码,字母大小写,数字及符号组合的密码,不低于10位字符;不要使用电话号码,学号等纯数字作为账号密码;设置帐户锁定策略,在输入5次密码错误后禁止登录;
3、安装主流杀毒软件,升级病毒库,对相关系统进行全面扫描查杀;在Windows中禁用U盘的自动运行功能;及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播;
4、定期进行数据备份;
5、服务器尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,3389,135,139等。
