Solution de protection de la gamme complète de produits Huawei contre le Variant Ransomware GlobeImposter 3.0

25 0 0 0

Récemment, des chercheurs de Huawei Weiran Labs ont capturé un nouvel échantillon de ransomware. Après analyse, on constate que le comportement de l’échantillon est presque identique à celui des échantillons de la famille des ransomwares GlobeImposter. La notification est la suivante: https://isecurity.huawei.com/sec/web/viewBlog.do?id=1980.

Selon la surveillance de Huawei Enterprise GSC, le logiciel ransomware pourrait éclater dans un avenir proche.L'impact et les suggestions sont les suivants:

1. Impact sur les services

Le ransomware peut chiffrer les fichiers audio, vidéo, de base de données, texte et autres types de fichiers et ajouter l'extension de nom de fichier. **** 4444, tel que Rat4444, Tiger4444, Snake4444, Monkey4444 et Dog4444.

GlobeImposter utilise l'algorithme RSA2048 pour chiffrer les données. Actuellement, il n'existe aucune solution efficace pour restaurer les données cryptées.

 

2. solution

2.1 Débranchez le câble réseau de l'hôte infecté.

L'algorithme de chiffrement asymétrique est utilisé. Une fois qu'un hôte est compromis, il est difficile de restaurer les données. Cependant, il est possible de restaurer les données car certains ransomwares présentent des problèmes de logique logicielle. Pour se protéger contre les ransomwares, plusieurs éditeurs de logiciels antivirus fournissent conjointement des outils de décryptage à l' adresse https://www.nomoreransom.org/ afin d'aider les victimes à pirater une partie des familles de ransomwares. Les victimes peuvent essayer les outils pour restaurer leurs données.

2.2 Pour un hôte de survie, les opérations suivantes sont suggérées:

Comme le logiciel ransomware utilise la force brute pour déchiffrer les mots de passe faibles et utilise le port 3389 pour se connecter à distance au système et implanter des virus:

(1) Désactivez le protocole RDP sur l'hôte (la fonction de bureau distant devient indisponible) et bloquez les ports 445, 3389, 135 et 139 sur le pare-feu et utilisez un commutateur pour empêcher la propagation. (Remarque: le blocage des ports peut affecter les services normaux. Avant cela, vérifiez si des services sont acheminés sur les ports afin d'éviter tout impact négatif sur les services.)

 

(2) Ne cliquez pas sur les courriels ou les pièces jointes provenant de sources inconnues, en particulier les pièces jointes portant les extensions suivantes: .js, .vbs, .exe, .scr et .bat car ces pièces jointes peuvent contenir des outils de capture de mots de passe ou des virus.

 

2.3 Renforcement de la sécurité de l'hôte

(1) Modifiez le mot de passe par défaut du compte administrateur et désactivez les comptes invité.

2) Remplacez le mot de passe simple par un mot de passe complexe contenant au moins 10 caractères majuscules, minuscules, chiffres et caractères spéciaux. N'utilisez pas une chaîne de chiffres, telle qu'un numéro de téléphone ou un identifiant d'employé, comme mot de passe du compte.

(3 ) Définissez une politique de verrouillage de compte. Par exemple, si des mots de passe incorrects sont entrés cinq fois de suite, la connexion est interdite.

(4) Mettez à jour les correctifs Windows dans les meilleurs délais, installez un logiciel antivirus et définissez un mot de passe pour quitter ou modifier les paramètres du logiciel antivirus afin d'éviter sa désactivation.

(5) Sauvegardez périodiquement les données. Si un serveur cloud est utilisé, prenez des instantanés.

 

3. Suggestions pour la protection des dispositifs de sécurité

Pour les pare-feu de nouvelle génération de la série USG, les sandbox de la série FireHunter6000 et IPS, mettez à jour le moteur de détection et la base de données de virus aux versions les plus récentes.Le déploiement simultané de pare-feu Huawei USG et du bac à sable FireHunter6000 peut efficacement vous défendre contre les attaques par ransomware:

(1) Déployez NGFW / NGIPS pour bloquer le comportement de reconnaissance (tel que l’exploitation de vulnérabilités) avant la livraison du ransomware.

(2 ) Déployez des commutateurs et des pare-feu prenant en charge la fonction de déception du réseau afin de tromper le logiciel ransomware afin d’intruder les services simulés et de capturer leurs comportements d’intrusion, réduisant ainsi le risque d’attaques sur le système réel et minimisant les pertes.

(3 ) Déployez un bac à sable pour inspecter les pièces jointes. Un pare-feu peut restaurer le trafic sur les fichiers et les envoyer au sandbox pour inspection.

 

4. Résumé des méthodes de configuration de la défense pour les produits concernés  

(1) Pare-feu et sandbox

(2) AR

(3) Commutateurs série CE

(4) Commutateurs série S


Pour plus d'informations ou pour obtenir une assistance technique, veuillez contacter le centre d'assistance technique local ou le service d'assistance téléphonique Huawei Global (https://e.huawei.com/fr/service-hotline-query)

 

antivirus


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier