首页|必读|视频|专访|运营|制造|监管|大数据|物联网|量子|元宇宙|博客|特约记者
手机|互联网|IT|5G|光通信|人工智能|云计算|芯片报告|智慧城市|移动互联网|会展
首页 >> 移动互联网旧 >> 正文

紧急预警:Globelmposter3.0变种来袭,多行业中招

2018年9月4日 13:46  CCTIME飞象网  

  由深信服在国内首先发现的Globemposter 3.0变种勒索病毒,现仍在持续肆虐传播,国内已有多个区域、多个行业受该病毒影响,包括政府、医疗行业、教育行业以及大型企业单位等,呈现爆发趋势。受影响的系统,数据库文件被加密破坏,并要求用户通过邮件沟通赎金跟解密密钥等。深信服紧急预警,提醒广大用户做好安全防护,警惕Globelmposter勒索。

  病毒名称:Globelmposter3.0 变种

  病毒性质:勒索病毒

  影响范围:政府、医疗、教育、企业等均受到病毒攻击,呈现爆发趋势

  危害等级:高危

  病毒分析

  病毒描述

  Globelmposter勒索病毒今年的安全威胁热度一直居高不下。早在今年2月全国各大医院已经爆发过Globelmposter2.0勒索病毒攻击,攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化,有:

  .TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE,.ALC0、.ALC02、.ALC03、.RESERVE等。最新Globelmposter3.0变种后缀为.Ox4444。这次爆发的样本为Globelmposter3.0家族的变种,采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,文件被加密后会被加上Ox4444、China4444

  Help4444

  Rat4444 、Tiger4444 、Rabbit4444 、Dragon4444 、Snake4444 、Horse4444

  Goat4444 、Monkey4444 、Rooster4444、Dog4444等后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。

  样本分析

  开机自启动

  病毒本体为一个win32 exe程序,病毒运行后会将病毒本体复制到%LOCALAPPDATA%或%APPDATA%目录,删除原文件并设置自启动项实现开机自启动,注册表项为

  HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck。

  加密勒索

  加密对象:可移动磁盘,固定磁盘,网络磁盘三种类型的磁盘。

  加密方式:

  样本通过RSA算法进行加密,先通过CryptGenRandom随机生成一组128位密钥对,然后使用样本中的硬编码的256位公钥生成相应的私钥,最后生成受害用户的个人ID序列号。然后加密相应的文件夹目录和扩展名,并将生成的个人ID序列号写入到加密文件末尾,如下图所示:

  隐藏行为

  通过该病毒中的Bat脚本文件能够删除:1、磁盘卷影 2、远程桌面连接信息 3、日志信息,从而达到潜伏隐藏的目的,其中的删除日志功能,由于bat中存在语法错误,所以未能删除成功。

  解决方案

  近期已有大量用户中招Globelmposter病毒,包括2.0和3.0变种。针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。

  深信服提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。

  病毒检测查杀

  1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

  2、深信服EDR产品及防火墙、安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。

  病毒防御

  1、及时给电脑打补丁,修复漏洞。

  2、对重要的数据文件定期进行非本地备份。

  3、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

  4、Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议),如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!

  5、深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。

  最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

编 辑:T01
声明:刊载本文目的在于传播更多行业信息,本站只提供参考并不构成任何投资及应用建议。如网站内容涉及作品版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容。本站联系电话为86-010-87765777,邮件后缀为#cctime.com,冒充本站员工以任何其他联系方式,进行的“内容核实”、“商务联系”等行为,均不能代表本站。本站拥有对此声明的最终解释权。
相关新闻              
 
人物
工信部张云明:大部分国家新划分了中频段6G频谱资源
精彩专题
专题丨“汛”速出动 共筑信息保障堤坝
2023MWC上海世界移动通信大会
中国5G商用四周年
2023年中国国际信息通信展览会
CCTIME推荐
关于我们 | 广告报价 | 联系我们 | 隐私声明 | 本站地图
CCTIME飞象网 CopyRight © 2007-2024 By CCTIME.COM
京ICP备08004280号-1  电信与信息服务业务经营许可证080234号 京公网安备110105000771号
公司名称: 北京飞象互动文化传媒有限公司
未经书面许可,禁止转载、摘编、复制、镜像