您的位置:
咨询服务方案
详情介绍
SOLUSTION
GlobeImposter 2.0专项漏洞播报
来源: | 作者:engee | 发布时间: 2018-03-02 | 3815 次浏览 | 分享到:

 (一) 勒索病毒情况分析

Globelmposter家族首次出现在20175月,主要传播方式是通过向特定的用户发送垃圾邮件进行传播。

这个病毒的是GlobeImposter 2.0病毒家族的其中一种后缀格式,其它格式还有:{原文件名}后缀.GOTHAM*.YAYA*.CHAK*.GRANNY*.SKUNK*.TRUE*.SEXY;*.MAKGR*.BIG1*.LIN*.BIIT;*.reserve*.BUNNY*.FREEMAN 勒索通知信息文件为:how_to_back_files.html 

此病毒主要针对企业,通过RDP远程桌面入侵施放病毒,病毒会加密本地磁盘与共享文件夹的所有文件。此次发现的Globelmposter家族最新变种,通过RSA算法进行加密,先通过CryptGenRandom随机生成一组密钥对,然后使用样本中的硬编码生成相应的私钥,最后生成受害用户的个人ID序列号,加密相应的文件夹目录和扩展名,并将生成的个人ID序列号写入到加密文件末尾,相应的加密文件夹目录,如下图所示:

   

同时样本还会进行自我拷贝操作,将自身拷贝到%APPDATA%目录下:

 

用户感染相应的Globelmposter变种之后,样本会加密相应的文件夹下的文件,并生成how_to_back_file.html的超文本文件,如图所示:

 

 生成的超文件文件,显示了个人的ID序列号,以及恶意软件作者的联系方式:

   
 
 

用户一旦出现Globelmposter变种感染,黑客会以工具辅助手工的方式,对内网其他机器进行渗透,在内网扩散。


 (二) 勒索病毒影响范围 

本次攻击者主要的突破边界手段可能为Windows远程桌面服务密码暴力破解,在进入内网后会进行多种方法获取登陆凭据并在内网横向传播。综上,符合以下特征的机构将更容易遭到攻击者的侵害: 

1、存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。
2、内网Windows终端、服务器使用相同或者少数几组口令。
3Windows服务器、终端未部署或未及时更新杀毒软件。 


        (三)防护建议 

建议如下防范措施: 

1、不要点击来源不明的邮件以及附件;

2、更改默认administrator管理帐户,禁用GUEST来宾帐户;

3、更改复杂密码,字母大小写,数字及符号组合的密码,不低于10位字符;

4、设置帐户锁定策略,在输入5次密码错误后禁止登录;

5、安装杀毒软件,设置退出或更改需要密码,防止进入关闭杀毒软件;

6、定期的一个数据异地备份,如是云服务器,一定要做好快照;

7、服务器尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等;

8、禁止系统自带远程协助服务,使用其它远程管理软件,例如:TeamViewer或者瑞友天翼;

9Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议),因此建议用户关闭相应的RDP(远程桌面协议); 

中毒后第一时间做好以下工作:

1、断开网络,预防感染其它计算机文件。

2、结束病毒进程,安装杀毒软件,查杀病毒,预防二次中毒加。(查杀病毒不会损坏加密的文件)

3、备份加密数据。预防意外造成加密数据损坏无法解密。

4、排查服务器的局域网是否有共享文件夹文件被加密,备份它们。

病毒检测工具

针对这次Globelmposter勒索病毒事件,360天擎团队和深信服EDR制作了勒索病毒查杀的工具,下载地址链接如下:

http://dl.b.360.cn/tools/FocusTool.exe

http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

联系方式

地址:上海市长宁区仙霞路350号14号楼科创楼408室 邮编200336


电话:021-62713620


联系邮箱:GMD@engee.com.cn