关于GlobeImposter勒索病毒的应对建议

近日，锐捷安全产品事业部安全服务中心监测到国内多家企事业单位被GlobeImposter勒索病毒攻击，攻击人员首先攻击开启了远程桌面服务的Windows系统，获取权限后进一步对内网进行扫描并投毒。与之前的勒索病毒一致，主要利用135、139、445、3389等高危端口进行攻击与传播。

用户电脑感染了GlobeImposter病毒后会有两类现象，一类就是文件被加密，另一类是利用中毒后的服务器进行挖矿。

如果您已经感染病毒，锐捷安全服务中心建议：

1. 中了勒索病毒的服务器，立即断开网络；对被加密的数据尝试进行数据恢复。
2. 关闭不需要的端口与服务，尤其是139、445、135端口、Windows远程桌面服务、Server服务、共享服务等。
3. 安装杀毒软件，更新到最新，全面查杀病毒。
4. 更新密码，设置强口令，尤其是面向互联网的服务器。
5. 更新系统补丁至最新。
6. 安全设备升级到最新特征库版本，防御新型攻击。锐捷网络已发布最新防护特征库，如果您是锐捷全新下一代防火墙产品的用户，请及时更新到如下版本：病毒样本库：61.684    IPS特征库：13.437
7. 寻求锐捷安全服务中心进行安全事件处置。同时锐捷RG-BDS大数据安全平台可以制定策略对GlobeImposter病毒攻击进行告警，第一时间发现病毒踪迹。

没有感染的用户，锐捷安全服务中心也建议加强防范：

1. 备份重要数据。
2. 制定应急预案并定期演练。
3. 对内网进行全面安全检测评估，发现系统安全漏洞并及时修补。
4. 建议结合使用安全分析平台，例如锐捷BDS等，对现网异常流量、日志、漏洞以及重点安全设备告警进行统一检测分析，及时把握网络安全动态。