×

#原创分享#最新勒索病毒“十二生肖”2.0防御实战!
  

zhb 1108

本帖最后由 zhb 于 2019-11-8 16:35 编辑

11月5日,也就是前天,深信服也发布了“Globelmposter也就是“十二生肖”2.0新变种来袭”的新闻


事情经过:

11月2日,周六,客户给我公司打电话说是中招了
开机后弹出

531635dc383a84e696.png

黑客勒索0.6个比特币!

80175dc384c7a00cd.png

278645dc3856f375cb.png

通过上面的截图我们可以看到
#加密的时间是11月2日23点05分左右
#后缀名基本上以“十二生肖”英文结尾
#每一个文件夹都有一个开执行文件HOW TO BACK YOUR FILES.EXE 的文件,运行这个文件弹出勒索信息

505235dc386bdccaf5.png

试了几个主流的解密工具,均无效!

桌面新建几个文档都没有被加密,可能病毒源文件已经被黑客清除

348605dc3872358ebc.png

系统日志也已经被黑客清空。。。

被黑原因:
运维人员为了方便运维,将自己的电脑开启RDP,并且用华为防火墙直接映射在了公网,为Globelmposter的入侵做好了准备,这就是一盘菜啊。

事后防御:

1、全网部署亚信officescan杀毒软件,开启实时监控和行为监控,病毒库实时更新;
      当然EDR也可以防御,而且edr能够实现微隔离,阻止病毒的扩散:微隔离配置指导
2、出口部署深信服NGAF,配置参考:#原创分享#实战-防御勒索病毒!
加上防火墙后:
507395dc38b26e2950.png
3、爱数备份系统做好重要系统备份工作,虚拟机化系统做好虚拟机的备份和快照
4、关闭端口映射,采用深信服sslvpn的方式发布内网业务,包括RDP服务
5、系统全部采取强密码策略!杜绝弱口令;

喜欢这篇文章吗?喜欢就给楼主打赏吧!

打赏
6人已打赏

×
有话想说?点这里!
可评论、可发帖
发表新帖

本版版主

127
102
6

发帖

粉丝

关注

本版热帖

本版达人

螺丝钉

本周建议达人

神奇轱辘

本周分享达人

adds

本周提问达人