×

#原创分享#最新勒索病毒“十二生肖”2.0防御实战!
  

zhb 2984

本帖最后由 zhb 于 2019-11-8 16:35 编辑

11月5日,也就是前天,深信服也发布了“Globelmposter也就是“十二生肖”2.0新变种来袭”的新闻


事情经过:

11月2日,周六,客户给我公司打电话说是中招了
开机后弹出

531635dc383a84e696.png

黑客勒索0.6个比特币!

80175dc384c7a00cd.png

278645dc3856f375cb.png

通过上面的截图我们可以看到
#加密的时间是11月2日23点05分左右
#后缀名基本上以“十二生肖”英文结尾
#每一个文件夹都有一个开执行文件HOW TO BACK YOUR FILES.EXE 的文件,运行这个文件弹出勒索信息

505235dc386bdccaf5.png

试了几个主流的解密工具,均无效!

桌面新建几个文档都没有被加密,可能病毒源文件已经被黑客清除

348605dc3872358ebc.png

系统日志也已经被黑客清空。。。

被黑原因:
运维人员为了方便运维,将自己的电脑开启RDP,并且用华为防火墙直接映射在了公网,为Globelmposter的入侵做好了准备,这就是一盘菜啊。

事后防御:

1、全网部署亚信officescan杀毒软件,开启实时监控和行为监控,病毒库实时更新;
      当然EDR也可以防御,而且edr能够实现微隔离,阻止病毒的扩散:微隔离配置指导
2、出口部署深信服NGAF,配置参考:#原创分享#实战-防御勒索病毒!
加上防火墙后:
507395dc38b26e2950.png
3、爱数备份系统做好重要系统备份工作,虚拟机化系统做好虚拟机的备份和快照
4、关闭端口映射,采用深信服sslvpn的方式发布内网业务,包括RDP服务
5、系统全部采取强密码策略!杜绝弱口令;

喜欢这篇文章吗?喜欢就给楼主打赏吧!

打赏
6人已打赏

Sangfor_闪电回_朱丽 发表于 2019-11-8 16:23
  
这个强!
社区也有关于这个病毒的相关介绍!

https://bbs.sangfor.com.cn/forum. ... ead&tid=87637#/
Sangfor_闪电回_朱丽 发表于 2019-11-8 16:23
  
您好,感谢您参与社区原创分享计划4,您的文章已被收录到计划中,交由专家评审小组评审,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!
nightmare 发表于 2019-11-8 17:43
  

11.11社区也狂欢 +11 S豆 详情>

只能重装了?
静态路由 发表于 2019-11-8 17:46
  
事前防御很重要,做好备份更重要,不然都没办法恢复。
玖零网络 发表于 2019-11-8 18:12
  
这大场面,目前没有看到过
新手978943 发表于 2019-11-8 22:52
  
这样的大场面不要发生在我这里
新手379206 发表于 2019-11-9 09:38
  

这样的大场面,希望不要出现在我身边
HDC 发表于 2019-11-9 09:49
  

11.11社区也狂欢 +11 S豆 详情>

有预算就配个堡垒机~
Brett 发表于 2019-11-9 09:59
  
多谢分享,已经学习
×
有话想说?点这里!
可评论、可发帖
发表新帖

本版版主

201
29
19

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

新手58573...

本周分享达人

新手58573...

本周提问达人