365棋牌注册就送18元彩金
中国政府网 | 聊城人民政府 | 365棋牌注册就送18元彩金_365棋牌怎样才能涨分_365棋牌如何解绑    今天是: 加入收藏|365棋牌注册就送18元彩金|365棋牌怎样才能涨分
您的当前位置:首页 > 新闻资讯 > 协会公告
聊城市“勒索病毒”应急响应过程分析
发布时间:2019.03.07    新闻来源:   浏览次数:469

聊城市“勒索病毒”应急响应过程分析

一. 
项目概述


1.1事件概述

应急响应开始时间

2019.3.7

应急响应结束时间

进行中

响应方式

2019年3月7日 09:10接到消息二十五分钟赶到现场进行处理。

关键字

勒索

参考文档

 


1.2影响范围及处置情况
此次应急发现主机感染GlobeImposter勒索病毒。攻击者可能通过ProcessHacker停止杀毒、系统、数据库服务,通过定向投毒感染目标主机。

序号

地区

病毒情况

处理情况

1

聊城东昌府区

中毒

未使用件以及主机加固,现场基本无安全防,只有一台防火墙,但是防火墙未做任何部署。病毒生后,第一时间隔离。建议单位内外网隔离,部署防火墙,关闭139.445.3389端口。

2

 

 

 

二. 
应急响应工作流程


2.1中毒现象
相关文件被加密,文件后缀变为:{benjamin_Jack2811@aol.com}AOL

2.2应急处理
重要!!!:如果存在备份,立即隔离备份区域,确保不被感染
1)已中毒系统断网隔离,后续处理:数据无关紧要重装系统、如果是虚拟机直接删除。
2)如果存在重要数据,隔离后查看备份数据状态。
3)未中毒系统使用防护手段控制病毒范围。具体防护手段参考安全建议。

2.3系统分析

2.3.1样本提取
中毒系统被隔离后,第一时间提取样本,样本如下:
%AppData%\Downloads


2.3.2中毒现象


2.3.3端口分析
检查端口开放情况如图:


2.3.4系统版本

.总结及安全建议

3.1相关安全建议
1.防病毒只能后续查杀无法抵御攻击,应使用服务器防黑加固手段,阻止暴力破解、漏洞利用、内网渗透等。
2.目前利用漏洞进行攻击传播的蠕虫开始泛滥,聊城市网络安全协会强烈建议网络管理员
在网络边界的防火墙上阻断135、139、445、3389端口的访问,如果边界上有IPS和协会新一代智慧防火墙之类的设备,请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断,直到确认网内的电脑已经安装了MS17-010补丁或关闭了Server服务;
3.安装最新版本的杀毒软件,定期对内网主机进行漏洞扫描,病毒查杀;
4.周期性对全网进行安全评估工作,及时发现网络主机存在的安全缺陷,修复高风险漏洞,避免类似事件发生;
5.对整体网络系统进行总体安全规划,如分别在边界、终端部署基础防护设备,增加实时感知威胁攻击和持续响应的能力;
6.对于RDP或者SSH等远程访问服务做访问来源控制并且不要使用简单密码,应使用唯
一的复杂密码,15位以上大小写、特殊字符、数字组合。

 

   
友情链接
主办单位:365棋牌注册就送18元彩金_365棋牌怎样才能涨分_365棋牌如何解绑   www.lcisa.org.cn   2006-2018  版权所有
地址(ADD):山东省聊城市东昌东路御景王宅1号商务楼   备案号:鲁ICP备18041370号   技术支持:行知科技

微信扫码关注