近日,河南省開封市某法院在試用"火絨企業版"(火絨終端安全管理系統1.0)時發現,有大量病毒在內網中傳播。火絨工程師現場調查發現,該單位那些還沒安裝"火絨企業版"的電腦終端存在10餘種病毒,包括蠕蟲和勒索病毒,並在內網中四處擴散,攻擊U盤等移動設備。
隨後該單位安裝"火絨企業版"進行全網查殺,並掃描中毒U盤,徹底清除了上述各種病毒。
圖:火絨工程師(左)趕赴開封 現場徹夜解決用戶問題
根據火絨工程師現場調查分析,該法院的蠕蟲主病毒要通過U盤等移動設備傳播進入。病毒感染電腦後,會掃描並隱藏其它正常U盤等移動設備內的所有文件,然後生成一份相同的假文件誘導用戶點擊。一旦點擊後即可感染U盤,導致無限循環傳播。
該法院負責人表示,除了該法院,當地檢察院、公安等相關單位均遭遇同樣的情況。由於這些單位的特殊性,對U盤等外設的使用依賴較多,相互之間通過U盤傳達文件的同時,也將病毒帶到各自單位網絡中,攻擊正常外設。目前,法院已有數百個U盤被該病毒感染,嚴重影響了正常辦公。
除了蠕蟲病毒,該法院網絡中還存在"Wannacry想哭"勒索病毒,並通過WindoWs7、XP等老舊系統中常見的"永恆之藍"漏洞在內網肆意傳播,時刻威脅單位數據信息的安全。
瞭解原因後,火絨工程師迅速通過"火絨企業版"全網查殺病毒,並針對蠕蟲與勒索病毒,制定詳細解決方案。
針對蠕蟲病毒:1、全網安裝"火絨企業版",並全盤查殺,掃描中毒U盤,清除病毒。2、還原被隱藏的文件,並開啟【U盤保護】功能。3、在控制中心使用【設備管理】功能,直接禁用部分終端使用外設。
針對"Wannacry想哭"勒索病毒,全網掃描清除病毒後,開啟【黑客入侵攔截】功能阻止病毒後續入侵,並幫助溯源感染源IP地址。
通過上述操作後,該法院的網絡情況得以恢復正常,病毒攻擊次數下降為每日個位數內;U盤等外設中的病毒也清理乾淨。其它移動設備接入部署"火絨企業版"的終端時,也會立即被掃描檢測安全性,讓員工放心使用。
總結:
公檢法等政府單位使用的多為內網(不連接互聯網),因此傳輸文件時對U盤等外設的依賴程度較高,這些移動設備服務的過程中極易感染和傳播病毒,甚至跨單位傳染。通過部署"火絨企業版":第一,可全網查殺和防治病毒;第二"U盤保護"功能可更精確的針對U盤攜帶的病毒進行查殺;第三,"設備控制"功能支持管理員禁用U盤等各種外接設備,進一步加強對外接設備的安全防範和管理。
閱讀更多 火絨安全實驗室 的文章
