腾讯企业安全的“御点”
企业服务器的相关管理人员可通过腾讯企业安全研制的以下安全工具和指导方案来自检及修复此次 GlobeImposter 勒索病毒:1、腾讯勒索病毒专杀工具:勒索软件 WannaCry, Petya 利用永恒之蓝在全球爆发, 造成了巨大的影响。为此,腾讯反病毒实验室研发了这款勒索软件专杀工具。
2、腾讯反勒索病毒工具集:腾讯电脑管家,首发应对最新病毒的修复工具、自检指南,快速、有效消除恶意威胁
3、主机安全自检指南:研究报告 > 正文变种勒索病毒卷土重来,腾讯 “御点” 提供主机安全自检指南2018-02-25 00:00:00新年刚过,就有多起勒索病毒攻击事件发生,经分析发现,此次出现的勒索病毒正是 GlobeImposter 家族的变种,该勒索病毒将加密后的文件重命名为. TRUE、.TECHNO 等扩展名,并通过邮件来告知受害者付款方式,使其获利更加容易方便。 为防止遭勒索病毒攻击,腾讯企业安全提供主机安全自检指南,用户可通过该指南检测主机安全,以免遭到勒索病毒破坏。新年刚过,就有多起勒索病毒攻击事件发生,经分析发现,此次出现的勒索病毒正是GlobeImposter 家族的变种,该勒索病毒将加密后的文件重命名为.TRUE、.TECHNO 等扩展名,并通过邮件来告知受害者付款方式,使其获利更加容易方便。为防止遭勒索病毒攻击,腾讯 '御点' 提供主机安全自检指南,用户可通过该指南检测主机安全,以免遭到勒索病毒破坏。A、检查登录密码是否为弱密码,如:空密码,123456,111111,admin,5201314等。B、检查是否开启高风险服务、端口,如:21\22\23\25\80\135\139\443\445\3306\3389,以及不常见端口号。linux 下 root 权限使用命令:netstat -tnlp; windows 下使用命令 netstat -ano | findstr LISTENLING,同时使用命令 tasklist 导出进程列表,找出可疑的正在监听端口对应的进程。C、检查本机防火墙是否开启,在不影响正常办公的情况下,建议开启防火墙。D、检查本机 ipc 空连接及默认共享是否开启,windows 下使用 net share 命令查看,若返回的列表为空即未开启,否则为开启默认共享。列表中出现 C$\D$\E$ 分别代表默认共享出 C、D、E 盘文件,且在获取到 windows ipc$ 连接权限后,可随意读写。该类共享一般情况下用不到,建议关闭,关闭方法:net share C$ /del,net share ipc$ /del……E、检查本机是否关闭 “自动播放” 功能,方法:打开 “运行”,输入 gpedit.msc打开组策略选中计算机配置 --- 管理模板 --- 系统 ---“关闭自动播放”,双击进入编辑界面,对所有驱动器选择启用关闭。此外,建议安装安全软件杜绝该类威胁,以防 U 盘等外接设备传播病毒木马。打开 “运行”,输入:control.exe /name Microsoft.AutoPlay,弹出的设置对话框中,选择 “不执行操作”。F、检查本机安装软件情况,是否有低版本有漏洞软件,如:FTP Internet Access Manager 1.2、Rejetto HTTP File Server (HFS) 2.3.x、FHFS - FTP/HTTP File Server 2.1.2 等。使用命令:wmic /output:D:\check\InstalledSoftwareList.txt product get name,version 可将本机安装软件列表导出到 D:\check\InstalledSoftwareList.txt 中。G、检查本机 office、adobe、web 浏览器等软件是否更新到最新版本及安装最新补丁,以防钓鱼、挂马类攻击。H、检查本机系统补丁是否安装到最新
4、Windows Server 安全加固指南:为防止遭勒索病毒攻击,腾讯 “御点” 提供 Windows Server 安全加固指南,用户可通过该指南进行安全加固,以免遭到勒索病毒破坏。
GlobeImposter家族勒索病毒