近期�����,業(yè)界發(fā)現(xiàn)一種新型SamSam勒索病毒�,國外和國內(nèi)均已發(fā)生中毒事件���。該病毒利用弱口令爆破方式向其他主機進行傳播�,加密后的文件后綴為:weapologize��。由于該病毒采用RSA2048加密算法�����,文件被加密后暫時無法恢復�����。
請涉及威脅的租戶根據(jù)自身業(yè)務情況�,采取防護措施。
威脅級別
威脅級別:【嚴重】
(說明:威脅級別共四級:一般�����、重要�����、嚴重��、緊急����。)
影響范圍
開啟了445端口SMB網(wǎng)絡共享協(xié)議、開啟RDP 3389端口且存在弱口令的Windows系統(tǒng)(包括個人版和服務器版)�����。
影響范圍
排查方法:
1. 檢查系統(tǒng)是否安裝了最近系統(tǒng)漏洞補丁包;
2. 檢查系統(tǒng)是否開啟了445端口的SMB網(wǎng)絡共享協(xié)議���,或者不必要的共享端口;
3. 檢查系統(tǒng)是否開啟了3389端口的RDP網(wǎng)絡共享協(xié)議且使用了弱口令;
4. 檢查系統(tǒng)是否存在weapologize后綴文件;
5. 檢查網(wǎng)站和服務器是否存在系統(tǒng)漏洞���,是否更新補丁�。
處置方案:
1. 隔離感染主機:已中毒計算機盡快隔離���,關(guān)閉所有網(wǎng)絡連接��,禁用網(wǎng)卡;
2. 切斷傳播途徑:關(guān)閉潛在終端的SMB 445��、135��、139�、3389等網(wǎng)絡端口�,關(guān)閉異常的外聯(lián)訪問;
3. 使用復雜密碼:RDP遠程服務器等連接盡量使用復雜密碼,不要使用簡單密碼;
4. 查找攻擊源:手工抓包分析或借助態(tài)勢感知類產(chǎn)品分析;
5. 查殺病毒:該勒索病毒會通過PSEXEC.EXE工具感染其它主機�����,建議卸載或禁用PSEXEC.EXE工具�����。也可使用防病毒工具進行查殺�。
安全建議
1. 不從不明網(wǎng)站下載相關(guān)的軟件,不要點擊來源不明的郵件以及附件;
2. 及時給電腦打補丁��,修復漏洞;
3. 修改密碼:設置主機賬號密碼為高強度的密碼;
4. 對重要的數(shù)據(jù)文件定期進行非本地備份;
5. 安裝專業(yè)的第三方反病毒軟件;
6. 關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口,如:445����、135、139�����、3389等�。
注意:修復漏洞前請將資料備份�����,并進行充分測試����。
