产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
变种勒索病毒卷土重来,腾讯“御点”提供主机安全自检指南
2018-02-24 16:00:00
新年刚过,就有多起勒索病毒攻击事件发生,经分析发现,此次出现的勒索病毒正是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命名为.TRUE、.TECHNO等扩展名,并通过邮件来告知受害者付款方式,使其获利更加容易方便。
为防止遭勒索病毒攻击,腾讯"御点"提供主机安全自检指南,用户可通过该指南检测主机安全,以免遭到勒索病毒破坏。
A、检查登录密码是否为弱密码,如:空密码,123456,111111,admin,5201314等。
B、检查是否开启高风险服务、端口,如:21\22\23\25\80\135\139\443\445\3306\3389,以及不常见端口号。linux下root权限使用命令:netstat -tnlp; windows下使用命令netstat -ano | findstr LISTENLING,同时使用命令tasklist导出进程列表,找出可疑的正在监听端口对应的进程。
C、检查本机防火墙是否开启,在不影响正常办公的情况下,建议开启防火墙。
D、检查本机ipc空连接及默认共享是否开启,windows下使用net share命令查看,若返回的列表为空即未开启,否则为开启默认共享。列表中出现C$\D$\E$分别代表默认共享出C、D、E盘文件,且在获取到windows ipc$连接权限后,可随意读写。该类共享一般情况下用不到,建议关闭,关闭方法:net share C$ /del,net share ipc$ /del……
E、检查本机是否关闭“自动播放”功能,方法:打开“运行”,输入gpedit.msc打开组策略选中计算机配置---管理模板---系统---“关闭自动播放”,双击进入编辑界面,对所有驱动器选择启用关闭。此外,建议安装安全软件杜绝该类威胁,以防U盘等外接设备传播病毒木马。打开“运行”,输入:control.exe /name Microsoft.AutoPlay,弹出的设置对话框中,选择“不执行操作”。
F、检查本机安装软件情况,是否有低版本有漏洞软件,如:FTP Internet Access Manager 1.2、Rejetto HTTP File Server (HFS) 2.3.x、FHFS - FTP/HTTP File Server 2.1.2等。使用命令:wmic /output:D:\check\InstalledSoftwareList.txt product get name,version可将本机安装软件列表导出到D:\check\InstalledSoftwareList.txt中。
G、检查本机office、adobe、web浏览器等软件是否更新到最新版本及安装最新补丁,以防钓鱼、挂马类攻击。
H、检查本机系统补丁是否安装到最新,尤其关注以下可导致远程命令执行漏洞:
漏洞 |
补丁包 |
影响范围 |
参考 |
MS08-067 |
除Win Server 2008 Core以外的所有Windows系统 |
https://technet.microsoft.com/zh-cn/library/security/ms08-067.aspx |
|
MS09-050 |
KB975517 |
Windows 2008、Windows vista |
https://technet.microsoft.com/zh-cn/library/security/ms09-050.aspx |
MS10-046 |
KB2286198 |
windowsX_——Windows2008 |
https://technet.microsoft.com/zh-cn/library/security/ms10-046.aspx |
MS10-061 |
KB2347290 |
WindowsXP |
https://technet.microsoft.com/zh-cn/library/security/ms10-061.aspx |
MS14-064 |
KB3011443
|
WindowsXP——Windos2012 |
https://technet.microsoft.com/zh-cn/library/security/ms14-064.aspx |
MS17-010 |
KB4013389
|
WindowsXP——Windows 2012 |
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx |
使用命令wmic qfe get hotfixid 可获取当前已安装的补丁包,对照上表自行检查。
如需帮助,请在cmd命令行下依次输入下面命令,而后将C:\pcmgr_check\文件夹打包发送到邮箱:es@tencent.com
netstat -ano > c:\pcmgr_check\netstat.txt
tasklist&net start > c:\pcmgr_check\tasklist.txt
wmic process get name,executablepath,processid > c:\pcmgr_check\process.txt
net share > c:\pcmgr_check\share.txt
net user & net localgroup administrators > c:\pcmgr_check\users.txt
wmic product get name,version > c:\pcmgr_check\products.txt
wmic qfe get hotfixid > c:\pcmgr_check\hotfixid.txt
systeminfo > c:\pcmgr_check\systeminfo.txt
net use > c:\pcmgr_check\netuse.txt
ipconfig /all > c:\pcmgr_check\ipconfig.txt
query user > c:\pcmgr_check\query_user.txt
变种勒索病毒卷土重来,腾讯“御点”提供Windows 2003安全加固指南
在线咨询
方案定制