【风险描述】

 近期多地再次发生多起GlobelImposter勒索病毒事件，经过定性分析攻击者在突破边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒，此次攻击针对性较强。

【攻击方式】

 此攻击主要针对开放远程桌面服务的服务器，进行口令爆破进入服务器后利用密码抓取工具获取管理员密码后对内网服务器发起扫描并投放勒索病毒、加密文件实施勒索。

【风险评级】

 高危

【影响范围】

 符合以下特征将容易受到攻击：

 1.  存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。

 2.  内网Windows终端、服务器使用相同或者少数几组口令。

 3.  Windows服务器、终端未部署或未及时更新安全加固和杀毒软件。

【预防建议】

 1.  所有服务器、终端应强行实施复杂密码策略，杜绝弱口令。

 2.  杜绝使用通用密码管理所有机器。

 3.  安装杀毒软件、终端安全管理软件并及时更新病毒库。

 4.  及时安装漏洞补丁。

【参考链接】                                                      

  https://mp.weixin.qq.com/s/b5Qw2HO9eVTlE0FugcJlCw

 注意：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2018-8-23