变种勒索病毒卷土重来,腾讯“御点”提供主机安全自检指南

2018-02-25 00:00:00
新年刚过,就有多起勒索病毒攻击事件发生,经分析发现,此次出现的勒索病毒正是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命名为.TRUE、.TECHNO等扩展名,并通过邮件来告知受害者付款方式,使其获利更加容易方便。 为防止遭勒索病毒攻击,腾讯企业安全提供主机安全自检...

新年刚过,就有多起勒索病毒攻击事件发生,经分析发现,此次出现的勒索病毒正是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命名为.TRUE.TECHNO等扩展名,并通过邮件来告知受害者付款方式,使其获利更加容易方便。

为防止遭勒索病毒攻击,腾讯"御点"提供主机安全自检指南,用户可通过该指南检测主机安全,以免遭到勒索病毒破坏。



A、检查登录密码是否为弱密码,如:空密码,123456,111111,admin,5201314等。

B、检查是否开启高风险服务、端口,如:21\22\23\25\80\135\139\443\445\3306\3389,以及不常见端口号。linuxroot权限使用命令:netstat -tnlp windows下使用命令netstat -ano | findstr LISTENLING,同时使用命令tasklist导出进程列表,找出可疑的正在监听端口对应的进程。

C、检查本机防火墙是否开启,在不影响正常办公的情况下,建议开启防火墙。

D、检查本机ipc空连接及默认共享是否开启,windows下使用net share命令查看,若返回的列表为空即未开启,否则为开启默认共享。列表中出现C$\D$\E$分别代表默认共享出CDE盘文件,且在获取到windows ipc$连接权限后,可随意读写。该类共享一般情况下用不到,建议关闭,关闭方法:net share C$ /delnet share ipc$ /del……

E、检查本机是否关闭自动播放功能,方法:打开运行,输入gpedit.msc打开组策略选中计算机配置---管理模板---系统---“关闭自动播放,双击进入编辑界面,对所有驱动器选择启用关闭。此外,建议安装安全软件杜绝该类威胁,以防U盘等外接设备传播病毒木马。打开运行,输入:control.exe /name Microsoft.AutoPlay,弹出的设置对话框中,选择不执行操作

F、检查本机安装软件情况,是否有低版本有漏洞软件,如:FTP Internet Access Manager 1.2Rejetto HTTP File Server (HFS) 2.3.xFHFS - FTP/HTTP File Server 2.1.2等。使用命令:wmic /output:D:\check\InstalledSoftwareList.txt product get name,version可将本机安装软件列表导出到D:\check\InstalledSoftwareList.txt中。

G、检查本机officeadobeweb浏览器等软件是否更新到最新版本及安装最新补丁,以防钓鱼、挂马类攻击。

H、检查本机系统补丁是否安装到最新,尤其关注以下可导致远程命令执行漏洞:

漏洞

补丁包

影响范围

参考

MS08-067

KB958644

Win Server 2008 Core以外的所有Windows系统

https://technet.microsoft.com/zh-cn/library/security/ms08-067.aspx

MS09-050

KB975517

Windows 2008Windows vista

https://technet.microsoft.com/zh-cn/library/security/ms09-050.aspx

MS10-046

KB2286198

windowsX_——Windows2008

https://technet.microsoft.com/zh-cn/library/security/ms10-046.aspx

MS10-061

KB2347290

WindowsXP

https://technet.microsoft.com/zh-cn/library/security/ms10-061.aspx

MS14-064

KB3011443

 

WindowsXP——Windos2012

https://technet.microsoft.com/zh-cn/library/security/ms14-064.aspx

MS17-010

KB4013389

 

WindowsXP——Windows 2012

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

使用命令wmic qfe get hotfixid 可获取当前已安装的补丁包,对照上表自行检查。

 

 

如需帮助,请在cmd命令行下依次输入下面命令,而后将C:\pcmgr_check\文件夹打包发送到邮箱:es@tencent.com

 

netstat -ano > c:\pcmgr_check\netstat.txt

tasklist&net start > c:\pcmgr_check\tasklist.txt

wmic process get name,executablepath,processid > c:\pcmgr_check\process.txt

net share > c:\pcmgr_check\share.txt

net user & net localgroup administrators > c:\pcmgr_check\users.txt

wmic product get name,version > c:\pcmgr_check\products.txt

wmic qfe get hotfixid > c:\pcmgr_check\hotfixid.txt

systeminfo > c:\pcmgr_check\systeminfo.txt

net use > c:\pcmgr_check\netuse.txt

ipconfig /all > c:\pcmgr_check\ipconfig.txt

query user > c:\pcmgr_check\query_user.txt




腾讯御点终端安全管理系统,防御勒索病毒,保护企业安全!


变种勒索病毒卷土重来,腾讯“御点”提供Windows 2003安全加固指南




最新资讯