漏洞通报:关于近期利用3389端口传播Globelmposter3.0勒索病毒预警通告

校园网安全 Posted by 王宇 on 2019年3月13日

近日,多个行业发现内部服务器感染新型勒索病毒的情况,经分析为Globelmposter3.0或相关变种,请广大师生提高信息安全防范意识,提前做好防范工作。
Globelmposter3.0勒索病毒的工作原理是,病毒程序用自带的密码本破解服务器远程桌面3389端口服务的口令,破解后实现自动登录并把病毒体拷贝到服务器上运行起来,运行后首先把本地文档都加密勒索,然后再把本机作为跳板,扫描内网开放的3389服务,继续层层感染内网服务器。

由于Globelmposter3.0采用RSA+AES算法加密,目前该勒索病毒加密的文件暂无解密工具,请使用以下手段加强应急防护,避免出现被勒索状况。
1、不点击来源不明的邮件以及附件,不轻易打开和解压缩附件,尤其是如下扩展名的附件:.js,.vbs,.exe,.scr,.bat,.rar,.zip等;
2、更改默认Administrator管理帐户,禁用GUEST来宾帐户;更改复杂密码,字母大小写,数字及符号组合的密码,不低于10位字符;不要使用电话号码,学号等纯数字作为账号密码;设置帐户锁定策略,在输入5次密码错误后禁止登录;
3、安装主流杀毒软件,升级病毒库,对相关系统进行全面扫描查杀;在Windows中禁用U盘的自动运行功能;及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播;
4、定期进行数据备份;
5、服务器尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,3389,135,139等。

11 comments on “漏洞通报:关于近期利用3389端口传播Globelmposter3.0勒索病毒预警通告
  1. 1410245说道:

    建议修改远程桌面的默认端口,使用不常见端口进行链接,安全可靠。

  2. 1871115说道:

    是的老师,修改了端口还是不能远程连接服务器

  3. 1510101说道:

    谢谢老师,尝试修改端口了,还没有成功,正在查找问题

  4. 1510101说道:

    远程桌面又不能用了,连接外网ip,手机上的远程桌面可以用,电脑上用校园网提示:无法连接到远程计算机。请问老师是怎么回事

    • 王宇说道:

      远程桌面的缺省端口3389近期经常被利用传播勒索病毒的,个人建议还是不要使用为好,看看其他途径实现远程访问或者修改RDP的默认端口吧。

发表评论