各部门:
接都匀市公安局网监大队的通知,近日,GlobeImposter勒索病毒3.0变种再次席卷全国各地医院,受影响的系统数据库文件被加密破坏,病毒将加密后的文件后缀改以*4444结尾,并要求用户通过邮件沟通赎金跟解密密钥等。目前GlobeImposter 3.0已在多个省份形成规模爆发趋势,黔南州网络与信息安全信息通报中心发布紧急预警,警惕GlobeImposter 勒索,请各单位(尤其是医院)对其重要系统、网站开展系统安全自查,做好信息系统安全监测,加固系统安全,及时处置隐患,提高防御攻击的能力,并做好网络安全事件应急响应及处置等准备工作。
一、紧急处置方案
对于感染的服务器下线隔离。
对于未感染的服务器:
1.在网络边界防火墙上关闭3389端口或3389端口只对特定IP开放。
2.开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。
3.每台服务器设置唯一口令密码,且复杂程度要求采用大小写字母、数字、特殊符号混合的组合结构,口令长度足够长(15位、两种组合以上)。
二、后续跟进方案
1.对于已下线隔离中的感染服务器,联系专业技术服务机构进行日志及样本分析。
2.使用网络安全模式下载病毒专杀软件删除该病毒。
3.利用计算机系统还原功能,还原系统到前一个安全点,再利用病毒专杀软件进行查杀,删除剩余的该病毒的病毒文件(仅用于设置了还原点的系统,如未设置还原点建议重装纯净系统
三、服务器与终端防护
1.所有服务器、终端应强行实施复杂密码策略,杜绝弱口令。
2.杜绝使用通用密码管理所有机器。
3.安装杀毒软件、终端安全管理软件并及时更新病毒库。
4.及时安装漏洞补丁。
5.服务器开启关键日志收集功能,为安全事件的追踪溯源提供基础。
四、网络防护与安全监测
1.对内网安全域进行合理划分。各个安全域之间限制严格的 ACL,限制横向移动的范围。
2.重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御,严格限制重要区域的访问权限并关闭 telnet、snmp 等不必要、不安全的服务。
3.在网络内架设 IDS/IPS 设备,及时发现、阻断内网的横向移动行为。
4.在网络内架设全流量记录设备。
五、应用系统防护及数据备份
1.应用系统层面,需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控。
2.对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性。
3.建立安全灾备预案,一但核心系统遭受攻击,需要确保备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,避免主系统和备份系统同时被攻击,影响业务连续性。
请现有内部服务器的系部及部门开展自查工作,保障服务器安全运行,数据无价,安全无小事,希望各部门高度重视。同时请相关部门于2019年3月20日之前反馈自查情况,如有技术上的问题,请及时反馈到网络信息中心。
网络信息中心
现代技术教育中心
2019年3月13日