#原创分享#最新勒索病毒“十二生肖”2.0防御实战!
  

zhb 5755

{{ttag.title}}
本帖最后由 zhb 于 2019-11-8 16:35 编辑

11月5日,也就是前天,某公司也发布了“Globelmposter也就是“十二生肖”2.0新变种来袭”的新闻


事情经过:

11月2日,周六,客户给我公司打电话说是中招了
开机后弹出

531635dc383a84e696.png

黑客勒索0.6个比特币!

80175dc384c7a00cd.png

278645dc3856f375cb.png

通过上面的截图我们可以看到
#加密的时间是11月2日23点05分左右
#后缀名基本上以“十二生肖”英文结尾
#每一个文件夹都有一个开执行文件HOW TO BACK YOUR FILES.EXE 的文件,运行这个文件弹出勒索信息

505235dc386bdccaf5.png

试了几个主流的解密工具,均无效!

桌面新建几个文档都没有被加密,可能病毒源文件已经被黑客清除

348605dc3872358ebc.png

系统日志也已经被黑客清空。。。

被黑原因:
运维人员为了方便运维,将自己的电脑开启RDP,并且用华为防火墙直接映射在了公网,为Globelmposter的入侵做好了准备,这就是一盘菜啊。

事后防御:

1、全网部署亚信officescan杀毒软件,开启实时监控和行为监控,病毒库实时更新;
      当然EDR也可以防御,而且edr能够实现微隔离,阻止病毒的扩散:微隔离配置指导
2、出口部署某公司NGAF,配置参考:#原创分享#实战-防御勒索病毒!
加上防火墙后:
507395dc38b26e2950.png
3、爱数备份系统做好重要系统备份工作,虚拟机化系统做好虚拟机的备份和快照
4、关闭端口映射,采用某公司sslvpn的方式发布内网业务,包括RDP服务
5、系统全部采取强密码策略!杜绝弱口令;

打赏鼓励作者,期待更多好文!

打赏
6人已打赏

Sangfor_闪电回_朱丽 发表于 2019-11-8 16:23
  
这个强!
社区也有关于这个病毒的相关介绍!

http://bbs.sangfor.com.cn/forum. ... ead&tid=87637#/
Sangfor_闪电回_朱丽 发表于 2019-11-8 16:23
  
您好,感谢您参与社区原创分享计划4,您的文章已被收录到计划中,交由专家评审小组评审,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!:感恩:
nightmare 发表于 2019-11-8 17:43
  

11.11社区也狂欢 +11 S豆 详情>

只能重装了?
静态路由 发表于 2019-11-8 17:46
  
事前防御很重要,做好备份更重要,不然都没办法恢复。
玖零网络 发表于 2019-11-8 18:12
  
这大场面,目前没有看到过
新手978943 发表于 2019-11-8 22:52
  
这样的大场面不要发生在我这里
新手379206 发表于 2019-11-9 09:38
  

这样的大场面,希望不要出现在我身边
HDC 发表于 2019-11-9 09:49
  

11.11社区也狂欢 +11 S豆 详情>

有预算就配个堡垒机~
Brett 发表于 2019-11-9 09:59
  
多谢分享,已经学习
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
GIF动图学习
功能体验
玩转零信任
2023技术争霸赛专题
安全攻防
每日一记
深信服技术支持平台
天逸直播
技术晨报
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

396
135
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人