Récemment, des chercheurs de Huawei Weiran Labs ont capturé un nouvel échantillon de ransomware. Après analyse, on constate que le comportement de l’échantillon est presque identique à celui des échantillons de la famille des ransomwares GlobeImposter. La notification est la suivante: https://isecurity.huawei.com/sec/web/viewBlog.do?id=1980.
Selon la surveillance de Huawei Enterprise GSC, le logiciel ransomware pourrait éclater dans un avenir proche.L'impact et les suggestions sont les suivants:
1. Impact sur les services
Le ransomware peut chiffrer les fichiers audio, vidéo, de base de données, texte et autres types de fichiers et ajouter l'extension de nom de fichier. **** 4444, tel que Rat4444, Tiger4444, Snake4444, Monkey4444 et Dog4444.
GlobeImposter utilise l'algorithme RSA2048 pour chiffrer les données. Actuellement, il n'existe aucune solution efficace pour restaurer les données cryptées.
2. solution
2.1 Débranchez le câble réseau de l'hôte infecté.
L'algorithme de chiffrement asymétrique est utilisé. Une fois qu'un hôte est compromis, il est difficile de restaurer les données. Cependant, il est possible de restaurer les données car certains ransomwares présentent des problèmes de logique logicielle. Pour se protéger contre les ransomwares, plusieurs éditeurs de logiciels antivirus fournissent conjointement des outils de décryptage à l' adresse https://www.nomoreransom.org/ afin d'aider les victimes à pirater une partie des familles de ransomwares. Les victimes peuvent essayer les outils pour restaurer leurs données.
2.2 Pour un hôte de survie, les opérations suivantes sont suggérées:
Comme le logiciel ransomware utilise la force brute pour déchiffrer les mots de passe faibles et utilise le port 3389 pour se connecter à distance au système et implanter des virus:
(1) Désactivez le protocole RDP sur l'hôte (la fonction de bureau distant devient indisponible) et bloquez les ports 445, 3389, 135 et 139 sur le pare-feu et utilisez un commutateur pour empêcher la propagation. (Remarque: le blocage des ports peut affecter les services normaux. Avant cela, vérifiez si des services sont acheminés sur les ports afin d'éviter tout impact négatif sur les services.)
(2) Ne cliquez pas sur les courriels ou les pièces jointes provenant de sources inconnues, en particulier les pièces jointes portant les extensions suivantes: .js, .vbs, .exe, .scr et .bat car ces pièces jointes peuvent contenir des outils de capture de mots de passe ou des virus.
2.3 Renforcement de la sécurité de l'hôte
(1) Modifiez le mot de passe par défaut du compte administrateur et désactivez les comptes invité.
2) Remplacez le mot de passe simple par un mot de passe complexe contenant au moins 10 caractères majuscules, minuscules, chiffres et caractères spéciaux. N'utilisez pas une chaîne de chiffres, telle qu'un numéro de téléphone ou un identifiant d'employé, comme mot de passe du compte.
(3 ) Définissez une politique de verrouillage de compte. Par exemple, si des mots de passe incorrects sont entrés cinq fois de suite, la connexion est interdite.
(4) Mettez à jour les correctifs Windows dans les meilleurs délais, installez un logiciel antivirus et définissez un mot de passe pour quitter ou modifier les paramètres du logiciel antivirus afin d'éviter sa désactivation.
(5) Sauvegardez périodiquement les données. Si un serveur cloud est utilisé, prenez des instantanés.
3. Suggestions pour la protection des dispositifs de sécurité
Pour les pare-feu de nouvelle génération de la série USG, les sandbox de la série FireHunter6000 et IPS, mettez à jour le moteur de détection et la base de données de virus aux versions les plus récentes.Le déploiement simultané de pare-feu Huawei USG et du bac à sable FireHunter6000 peut efficacement vous défendre contre les attaques par ransomware:
(1) Déployez NGFW / NGIPS pour bloquer le comportement de reconnaissance (tel que l’exploitation de vulnérabilités) avant la livraison du ransomware.
(2 ) Déployez des commutateurs et des pare-feu prenant en charge la fonction de déception du réseau afin de tromper le logiciel ransomware afin d’intruder les services simulés et de capturer leurs comportements d’intrusion, réduisant ainsi le risque d’attaques sur le système réel et minimisant les pertes.
(3 ) Déployez un bac à sable pour inspecter les pièces jointes. Un pare-feu peut restaurer le trafic sur les fichiers et les envoyer au sandbox pour inspection.
4. Résumé des méthodes de configuration de la défense pour les produits concernés
(2) AR
Pour plus d'informations ou pour obtenir une assistance technique, veuillez contacter le centre d'assistance technique local ou le service d'assistance téléphonique Huawei Global (https://e.huawei.com/fr/service-hotline-query)
