勒索病毒潛伏在你我周遭而不自知...

 

108.8月,國內部分醫療機構爆發勒索病毒入侵,所幸政府主導H-ISAC系統發揮作用,以致(抑制)災情沒有擴大。但未加入之機構、其他機關或一般中小企業呢??  Check Point提供超專業防勒索工具,即使在離線狀態下,仍可完全保護用戶資料。

 

如下測試畫面:

離線狀態下,Sand Blast Agent仍可成功保護

有關F-ISAC於8月31日接獲情資,我國衛生福利部所屬醫療單位電腦主機系統,近期疑似遭勒索程式攻擊,導致全國疑似有多家醫療機構電腦主機遭加密並勒索,此事件刻正由調查局偵辦中。

F-ISAC整理入侵威脅指標如下:

惡意程式1:

MD5 a37f82d716e96e254a24c45791df752a

SHA-1 9dceefab60c0967974a51cead8ca7119d422868e

SHA-256 bdc09fbf3df995437454a60067af617551ccddcbbd77eda2bcd03280a269b5ce

 

惡意程式2:

MD5: 52fdb757d85be146ac987431be4ee28a

SHA1: afef9ca7713a228d9b81880e4ab6e519fcbe6f7b

SHA256: f83e3e75dce9a7f89a131f5ba935eed8e487b01bc51508f75369f38b0340be7f

 

分享等級/ GREEN燈等級

情資種類/ 資安訊息情報

發送編號/ FISAC-ANA-201908-0039

情資類型/ 攻擊活動訊息

情資發布時間/ 2019年8月31日 12:00

影響等級/ 3

 

建議措施 :

一、目前防毒軟體已可偵測惡意程式2,建議會員應確認本身防毒程式版本能進行偵測及攔阻(Trend Micro 病毒碼版本2019/8/30 15.333.95;Symantec 病毒碼版本:2019/8/30 版本6 210830f)。因防毒軟體尚未能偵測惡意程式1,建議將本次事件之入侵威脅指標,匯入資安監控系統(如 SOC、SIEM、Proxy、EDR、EPP 等其中之一),進行關聯、分析、監控及攔阻等作業。如遭受類似攻擊,應儘速處理並與 F-ISAC 分享。

 

二、如發現勒索軟體攻擊,建議採取下列措施:

(一)立即中斷受攻擊電腦網路連線(拔掉網路線),以避免範圍擴大。

(二)透過強制作為(如關閉電源鍵或是停止虛擬機)關閉受攻擊電腦,再以另一隔離之電腦或虛擬機(與既有作業環境網路隔離,以避免感染其他電腦之風險),外接受攻擊電腦的實體硬碟或掛載受攻擊虛擬機之磁碟,搶救可能尚未被加密的資料。惟於作業環境重新使用相關資料前,應先經完整之安全掃描,確認相關資料無潛藏惡意程式之風險。

(三)系統重新安裝時,應注意先將軟體及病毒防護更新到最新,並先進行掃描,避免再次遭到攻擊。

(四)進行資產清查及盤點,確認相關受損範圍,完成風險評估後,依規定辦理通報事宜及啟動應變機制。

(五)至少保留一台受攻擊電腦或虛擬機進行事件調查及分析,找出根因。

 

新聞連結:

https://www.ithome.com.tw/news/132804

https://dep.mohw.gov.tw/pro/cp-2732-49147-120.html

 

本次惡意程式為Globeimposter之變形,發作影像如下:

CheckPoint Sand Blast Agent離線測試Globeimposter,並成功防護

 

 

 

 

另外,此勒索病毒是藉由RDP漏洞入侵(CVE-20190-0708),超激推薦使用 Check Point 安全閘道型產品,藉由虛擬修補概念,填補漏洞,前期預防勒索程式入侵。

創泓科技股份有限公司  台北總公司

Uniforce Technology Corporation

台北市內湖區洲子街77號10樓

電話 +886-2-2658-3077 

傳真 +886-2-2658-3097

服務專線 0809-085-580

技 術 客 服    0809-085-580

業 務 部 門    台北 - 222 / 221 / 205 / 226 / 288

技 術 部 門    台北 - 301 / 302 / 303 / 308 / 309

Copyrights © 2019 uniforce Technology Co., Ltd.