777水果机

777水果机

勒索者GlobeImposter变种病毒 防毒墙应急解决方案

  2018-03-02 10:00:00777水果机

777水果机


777水果机 一、概述


随着去年“永恒之蓝”勒索者病毒的爆发,2018年勒索者病毒再次空袭国内,并出现了新的勒索者病毒变种GlobeImposter,在各个行业均已出现相关中毒事件,尤其在医疗行业更为突出, 据金山安全病毒实验室分析,由于医疗行业采用共享打印方式频繁,给勒索者病毒提供了侵入医疗系统的便利条件,针对新型勒索者病毒的爆发, 金山安全VGM新一代防毒墙可对此类病毒进行有效的病毒隔离和通讯阻断,为用户提供了行之有效的应急解决方案。


777水果机 二、解决方案


近期GlobeImposter勒索者病毒爆发,金山安全第一时间收集到勒索者病毒样本进行了入库,实现勒索病毒文件过滤。GlobeImposter勒索病毒, 为复合型恶意代码,具备了文件感染和网络层传播、通讯两大特征,也是我们网关防病毒产品所重点关注和防御的范围,其攻击扩散特征也有利用微软MS17-010漏洞, 因此,现有的恶意代码威胁库即可识别、阻断此漏洞利用通讯行为。


777水果机 GlobeImposter勒索者病毒网关处置先决条件:


第一步. 确保现有的VGM防毒墙系统固件版本为7.15,如不是7.15版本请先升级此版本(7.15固件版本下载地址 http://dl3.netfilterarray.com/195/allinone.mdg


第二步.  将195-amd.patch文件在7.15系统版本上进行更新。操作步骤:右键点击左侧菜单“本机”两字,选择“安装补丁包”,将195-amd.patch文件导入,提示成功即可。



第三步.  更新病毒库。补丁安装完毕后,还需要更新VGM网关病毒库,才能实现识别与拦截。互联网环境下的vgm,点击病毒库在线更新,确认病毒库有更新到最新版本即可。内网隔离环境下,需要离线导入最新的恶意代码库即可(离线下载地址:http://vgm1-update.ejinshan.net/update/amd/allinone.amd )。


777水果机


777水果机 GlobeImposter勒索者病毒网关处置策略设定:


1. 协议层病毒文件过滤策略:如要实现破坏、阻断、病毒隔离,在“监控过滤—通用”策略中选择inline,并选择对应的过滤策略即可。如旁路监听环境下,只能选择online告警模式。


2. 监控过滤—通用:inline模式。



3. 网络层通讯威胁阻断策略:在“自动阻断—阻断参数”中,勾选“一般威胁、smtp病毒”并点击保存、生效按钮。

777水果机


777水果机 三、金山VGM新一代防毒墙简介


777水果机 金山VGM新一代防毒墙是一款专注于防范网络恶意代码、网络恶意行为威胁的过滤网关产品。可有效拦截/监控诸如病毒传播、蠕虫攻击、木马通讯、僵尸网络、口令探测等当前活跃的多种网络威胁。区别于传统的UTM模块化产品,金山VGM新一代防毒墙将自己的防范目标定位于恶意代码和恶意网络通讯,专注于对恶意代码和恶意网络通讯的识别和拦截,是帮助企业防范恶意代码,完善网络安全防护的有利工具。



金山VGM新一代防毒墙综合采用数据包结构分析、网络行为分析、特征识别、模式匹配、流量控制与自动抑制、协议分析、深度内容分析、专业防病毒识别、蠕虫过滤、木马通讯阻断 、口令嗅探识别、全透明桥接等技术,实现对网络威胁数据的精确过滤。


777水果机 GlobeImposter勒索者病毒可以利用电子邮件、文件传输等方式进行扩散,更主要的特点是利用系统的漏洞发起动态攻击。


根据GlobeImposter勒索者病毒的特点,金山VGM新一代防毒墙从OSI的多个层次进行处理。在网络层和传输层过滤蠕虫利用漏洞的动态攻击数据,在应用层过滤利用正常协议(SMTP、HTTP、POP3、FTP、IMAP、SMB等)传输的静态蠕虫代码。 用户无需做任何设置,就可达成对GlobeImposter勒索者病毒的有效防护。



777水果机 金山VGM新一代防毒墙可实现对恶意代码威胁的动态防御攻击,能够全方位抵御已知蠕虫病毒的攻击。这一技术标志着,金山VGM新一代防毒墙不仅可以过滤静态蠕虫代码,而且能够阻断蠕虫的动态攻击(包括所引发的病毒传播、后门漏洞、系统利用攻击等)。这样,可全面实现威胁动态防御。


金山VGM新一代防毒墙产品特点


777水果机 1. 灵活接入,即插即用。金山VGM新一代防毒墙支持串行、并行、串并混合三种接入模式,即插即用,适应各种复杂的网络环境,支持VLAN(包括非对称VLAN)、HA、单臂路由等网络环境。支持无IP接入,产品本身不需要设置任何地址即可进行过滤监控。


777水果机 2. IPV4/IPV6双栈支持。金山VGM新一代防毒墙全面支持IPv4和IPv6网络环境。


777水果机 3. 性能优秀,多路监控。金山VGM新一代防毒墙采用多核并行处理、重构网卡驱动、TCP/IP协议栈等技术,保证系统的高效过滤性能;支持多路监控,并且可同时支持防御/监测模式的应用。


4. 动态识别应用协议。金山VGM新一代防毒墙支持非端口定义的协议识别,通讯服务端无论采用什么端口,都能正确识别HTTP/FTP/SMTP/POP3/IMAP/SSH/SSL/SMB等多种应用层协议。


777水果机 5. 精确的病毒过滤能力。金山VGM新一代防毒墙针对网络传播病毒进行全面高效的专项过滤,精确识别邮件病毒、文件传输病毒、网页病毒等,防止病毒通过最常见的传播途径进入受保护网络。


6. 强大的蠕虫过滤能力。金山VGM新一代防毒墙采用入侵防御技术、IP/端口/数据包封锁技术,优化了蠕虫识别机制,不仅可过滤已知蠕虫,还可以在未知蠕虫爆发时进行拦截。


777水果机 7. 强大的木马通讯监控。金山VGM新一代防毒墙内置数千种木马通讯协议识别特征,可监控多数常见的木马通讯,通过识别库的不断更新,以响应新型木马,包括手机木马。


8. 高效的反钓鱼机制。金山VGM新一代防毒墙内置数十万有效的钓鱼网址和恶意网址,同时内置数百种针对各种浏览器的溢出攻击特征,防范网络钓鱼攻击和浏览器溢出攻击。


9.  防范口令探测能力。金山VGM新一代防毒墙可对常用的网络服务如:SMTP/POP3/IMAP/FTP/HTTP/SSH/TELNET/SMB等进行口令探测的活动均可被监测,并可触发相应的阻断动作,防止口令探测活动的持续进行。并预留接口进行二次开发,对用户专有的网络服务实现口令探测监控。


777水果机 10. 保障自身安全工作。金山VGM新一代防毒墙通过多种措施保障自身安全工作:通过专有安全操作系统避免漏洞攻击;通过自动抑制网络流量,防止DoS攻击造成拒绝服务和性能下降;通过加密和认证的安全管理防止管理失控。