安全狗预警:GandCrab5.0.4勒索变种来袭 医疗机构需重视
近期,GandCrab勒索家族在国内呈现爆发趋势,其GandCrab5.0.4最新变种已造成国内部分医疗行业出现业务瘫痪,影响医院正常的工作秩序,给大量患者的诊治制造了困扰。安全狗攻防实验室第一时间关注了事件进展。根据最新的研究分析,我们总结出了一些防护建议,敬请用户知晓。
勒索病毒简介
今年以来,GandCrab勒索家族持续活跃,安全狗在病毒事件曝光后即进行了跟踪研究,并整理了针对性的解决方案,用户可关注安全狗微信公众号获取。
GandCrab勒索家族包含有GandCrab4.0、GandCrab5.0、GandCrab5.0.3等变种,福建、浙江、山西、吉林、贵州、天津多省份均有感染案例。近期,新的迹象表明GandCrab5.0.3已经升级到版本GandCrab5.0.4,并有多家医疗机构因最新变种导致业务瘫痪。该变种同样采用RSA+AES加密算法,将系统中的大部分文档文件加密为随机后缀名的文件,然后对用户进行勒索。
最新变种仍然主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击,但会加密局域网共享目录文件夹下的文件。
处置建议
针对该家族的勒索病毒,可以通过以下手段尽可能地预防
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
与此同时,结合安全狗的相关安全产品和技术,我们推出了更有针对性的,从事前、事中和事后三个阶段来处理和应对的专项解决方案。
事前加固
1、检测并修复弱口令
2、制定严格的端口管理策略
3、设置防爆破策略
4、一键更新漏洞补丁
5、病毒木马检测
事中防御
1、通过对网络内部主机的进程、会话、资源等指标参数进行监测以发现异常的可疑行为。
2、结合威胁情报提供的远控或高危黑IP,感知可能正在发生的攻击事件
事后处置
1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。可开启IPS和僵尸网络功能进行封堵。
3、查找攻击源:手工抓包分析或借助安全狗啸天态势感知平台快速查找攻击源,避免更多主机持续感染。
4、查杀病毒:推荐使用安全狗进行病毒查杀,快速分析流行事件,实现终端威胁闭环处置响应。
图片新闻
最新活动更多
-
1月8日火热报名中>> Allegro助力汽车电气化和底盘解决方案优化在线研讨会
-
精彩回顾立即查看>> 【线下会议】OFweek 2024(第九届)物联网产业大会
-
精彩回顾立即查看>> STM32全球线上峰会
-
精彩回顾立即查看>> 松下新能源中国布局:锂一次电池新品介绍
-
精彩回顾立即查看>> 2024工程师系列—工业电子技术在线会议
-
精彩回顾立即查看>> 【线下论坛】华邦电子与莱迪思联合技术论坛
推荐专题
发表评论
请输入评论内容...
请输入评论/评论长度6~500个字
暂无评论
暂无评论