14
勒索病毒Globelmposter变种来袭,检测与防御解决方案

尊敬的用户,你好:

近日,勒索病毒GlobeImposter家族最新变种正在国内传播,受影响的系统,数据库文件被加密破坏,病毒将加密后的文件重命名为.TRUE扩展名,并通过邮件来告知受害者付款方式。由于Globelmposter采用RSA2048算法加密,目前该勒索样本加密的文件无解密工具。


此次爆发的GlobeImposter家族的变种,主要以国内公共机构服务器为主要攻击对象,目前已有医疗机构因该病毒出现系统瘫痪,对业务连续性造成严重影响。


病毒分析

Globelmposter家族首次出现在2017年5月,主要传播方式是通过向特定的用户发送垃圾邮件进行传播。此次发现的Globelmposter家族最新变种,通过RSA算法进行加密,先通过CryptGenRandom随机生成一组密钥对,然后使用样本中的硬编码生成相应的私钥,最后生成受害用户的个人ID序列号,加密相应的文件夹目录和扩展名,并将生成的个人ID序列号写入到加密文件末尾,相应的加密文件夹目录,如下图所示:


同时样本还会进行自我拷贝操作,将自身拷贝到%APPDATA%目录下:


病毒影响

用户感染相应的Globelmposter变种之后,样本会加密相应的文件夹下的文件,并生成how_to_back_file.html的超文本文件,如图所示:

 生成的超文件文件,显示了个人的ID序列号,以及恶意软件作者的联系方式:


值得注意的是,用户一旦出现Globelmposter变种感染,黑客会以工具辅助手工的方式,对内网其他机器进行渗透,在内网扩散。

解决方案

病毒检测

用户可免费下载深信服EDR对该变种病毒进行检测与隔离。下载地址为:http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

病毒防御

1、不要点击来源不明的邮件以及附件;

2、及时给电脑打补丁,修复漏洞;

3、对重要的数据文件定期进行非本地备份;

4、安装专业的终端/服务器安全防护软件;

5、Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议),因此建议用户关闭相应的RDP(远程桌面协议);

6、尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等;


亿人互联觉得安全永远是被动的,所以要建立主动的安全体系,最重要的就是不要在服务器上运行和使用来历不明的程序,尽可能提高操作系统的同步BUG更新,建立适合自己的重要数据备份机制,只有这样才能降低IT业务创新过程中的各种风险,为您的网络、数据和业务提供全面保护,让每个组织的安全建设更有效、更简单。


天津市亿人科技发展有限公司

网络安全部

2018.03.05

这条帮助是否解决了您的问题? 已解决 未解决

提交成功!非常感谢您的反馈,我们会继续努力做到更好! 很抱歉未能解决您的疑问。我们已收到您的反馈意见,同时会及时作出反馈处理!