域名預訂/競價，好“米”不錯過

近期,GandCrab勒索家族在國內呈現(xiàn)爆發(fā)趨勢,其GandCrab5.0.4最新變種已造成國內部分醫(yī)療行業(yè)出現(xiàn)業(yè)務癱瘓,影響醫(yī)院正常的工作秩序,給大量患者的診治制造了困擾。安全狗攻防實驗室第一時間關注了事件進展。根據(jù)最新的研究分析,我們總結出了一些防護建議,敬請用戶知曉。

勒索病毒簡介

今年以來,GandCrab勒索家族持續(xù)活躍,安全狗在病毒事件曝光后即進行了跟蹤研究,并整理了針對性的解決方案,用戶可關注安全狗微信公眾號獲取。

GandCrab勒索家族包含有GandCrab4.0、GandCrab5.0、GandCrab5.0.3等變種,福建、浙江、山西、吉林、貴州、天津多省份均有感染案例。近期,新的跡象表明GandCrab5.0.3已經(jīng)升級到版本GandCrab5.0.4,并有多家醫(yī)療機構因最新變種導致業(yè)務癱瘓。該變種同樣采用RSA+AES加密算法,將系統(tǒng)中的大部分文檔文件加密為隨機后綴名的文件,然后對用戶進行勒索。

最新變種仍然主要通過RDP爆破、郵件、漏洞、垃圾網(wǎng)站掛馬等方式進行傳播,其自身不具備感染傳播能力,不會主動對局域網(wǎng)的其他設備發(fā)起攻擊,但會加密局域網(wǎng)共享目錄文件夾下的文件。

處置建議

針對該家族的勒索病毒,可以通過以下手段盡可能地預防

1、及時給電腦打補丁,修復漏洞。

2、對重要的數(shù)據(jù)文件定期進行非本地備份。

3、不要點擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件。

4、盡量關閉不必要的文件共享權限。

5、更改賬戶密碼,設置強密碼,避免使用統(tǒng)一的密碼,因為統(tǒng)一的密碼會導致一臺被攻破,多臺遭殃。

與此同時,結合安全狗的相關安全產(chǎn)品和技術,我們推出了更有針對性的,從事前、事中和事后三個階段來處理和應對的專項解決方案。

事前加固

1、檢測并修復弱口令

2、制定嚴格的端口管理策略

3、設置防爆破策略

4、一鍵更新漏洞補丁

5、病毒木馬檢測

事中防御

1、通過對網(wǎng)絡內部主機的進程、會話、資源等指標參數(shù)進行監(jiān)測以發(fā)現(xiàn)異常的可疑行為。

2、結合威脅情報提供的遠控或高危黑IP,感知可能正在發(fā)生的攻擊事件

事后處置

1、隔離感染主機:已中毒計算機盡快隔離,關閉所有網(wǎng)絡連接,禁用網(wǎng)卡。

2、切斷傳播途徑:關閉潛在終端的SMB 445等網(wǎng)絡共享端口,關閉異常的外聯(lián)訪問?？砷_啟IPS和僵尸網(wǎng)絡功能進行封堵。

3、查找攻擊源:手工抓包分析或借助安全狗嘯天態(tài)勢感知平臺快速查找攻擊源,避免更多主機持續(xù)感染。

4、查殺病毒:推薦使用安全狗進行病毒查殺,快速分析流行事件,實現(xiàn)終端威脅閉環(huán)處置響應。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！