近日,“Globelmposter”勒索病毒再度来袭,此次勒索病毒变种繁多,主要通过钓鱼邮件传播,用户点击附件中的脚本后,会自动下载相关勒索样本。
一旦感染该勒索病毒,网络系统的数据库文件将被病毒加密,只有支付赎金才能恢复文件。
此次爆发的GlobeImposter家族的变种,主要以国内公共机构服务器为主要攻击对象,目前已有医疗机构因该病毒出现系统瘫痪,对业务连续性造成严重影响。
湖南经视新闻栏目对此进行了采访报道,并发出防范预警。以下是湖南经视的报道内容。
去年5月开始,勒索病毒就席卷全球,不知道大家是否记忆犹新?
比如,臭名昭著的WannaCry和ExPetr(也称作Petya和NotPetya)。
大量计算机“中招”后,电脑会被加密,无法操作。根据360年度报告统计,去年前11个月,全国至少有472.5万多台电脑遭到了勒索病毒攻击,平均每天约有1.4万台,可以说来势汹汹!
病毒分析
勒索病毒 GlobeImposter 家族最新变种攻击相对普通的勒索病毒首要区别在于:该病毒不具备主动传播性,是由黑客渗透进入内网后,在目标主机上人工植入,该病毒具有极强的破坏性和针对性,目前很难被破解。
此次发现的Globelmposter家族最新变种,通过RSA算法进行加密,先通过CryptGenRandom随机生成一组密钥对。
然后使用样本中的硬编码生成相应的私钥,最后生成受害用户的个人ID序列号,加密相应的文件夹目录和扩展名,并将生成的个人ID序列号写入到加密文件末尾,相应的加密文件夹目录,如下图所示:
同时样本还会进行自我拷贝操作,将自身拷贝到%APPDATA%目录下:
病毒影响
用户感染相应的Globelmposter变种之后,样本会加密相应的文件夹下的文件,并生成how_to_back_file.html的超文本文件,如图所示:
生成的超文件文件,显示了个人的ID序列号,以及恶意软件作者的联系方式:
值得注意的是,用户一旦出现Globelmposter变种感染,黑客会以工具辅助手工的方式,对内网其他机器进行渗透,在内网扩散。
该病毒还会利用局域网共享服务传播,如果局域网内用户较多使用了弱密码,一旦在内网出现感染,就可能造成较大影响。
这一次该如何防范?
经超级科技实验室安全专家分析,存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上、未做好内网安全隔离、Windows服务器或终端未部署或未及时更新杀毒软件等漏洞和风险的信息系统更容易遭受该病毒侵害。
奇速云建议您:
一、及时加强终端、服务器防护。所有服务器、终端应强行实施复杂密码策略,杜绝弱口令;安装杀毒软件、终端安全管理软件并及时更新病毒库;及时安装补丁;服务器开启关键日志收集功能,为安全事件的追溯提供基础。
二、严格控制端口管理。尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445、135、139、3389;建议关闭远程桌面协议。
三、及时进行个人数据备份。
四、及时上报事件。
领取专属 10元无门槛券
私享最新 技术干货