找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 38369|回复: 1

[已解决] 【网络安全预警通报】关于GlobeImposter最新变种勒索病毒的预警通报

[复制链接]

主题

帖子

0

积分

版主

赤豹•泰山个人杀软QQ群:144195035

Rank: 7Rank: 7Rank: 7

积分
0
发表于 2019-3-11 20:08:58 | 显示全部楼层 |阅读模式
 北京网络与信息安全信息通报中心通报,近日,一种勒索病毒GlobeImposter再次变种后在网上传播,目前该病毒已在多个省份出现感染情况。一旦感染该勒索病毒,网络系统的数据库文件将被病毒加密,并须支付勒索资金才能恢复文件。

一、GlobeImposter勒索病毒的危害

GlobeImposter是目前流行的一类勒索病毒,此次变种为3.0版本,它会加密磁盘文件并篡改后缀名*4444形式,同时在被加密的目录下会生成一个名为“HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。


由于GlobeImposter3.0采用高强度非对称加密方式,受害者在没有私钥的情况下无法恢复文件,如需恢复重要资料只能被迫支付赎金。通过分析发现,该病毒不具备主动传播性,被感染设备均是由黑客渗透进入内网后,在目标主机上人工植入,该病毒具有极强的破坏性和针对性,目前很难被破解。

二、GlobeImposter勒索病毒的攻击手法
该病毒的主要攻击步骤如下:
第一步对服务器进行渗透,黑客通过弱口令爆破、端口扫描等攻击手法,利用3389等远程登陆开放端口,使用自动化攻击脚本,用密码字典暴力破解管理员账号。
第二步对内网其他机器进行渗透,攻击者在打开内网突破口后,会在内网对其他主机进行口令爆破,利用网络嗅探、多协议爆破等工具实施爆破。
第三步植入勒索病毒,在内网横向移动至一台新的主机后,会尝试进行手动或用工具卸载主机上安装的防护软件,手动植入勒索病毒。
第四步运行病毒,病毒自动执行程序,对电脑内文件进行加密,完成病毒攻击过程。

三、网络安全提示
经安全专家分析,存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上、未做好内网安全隔离、Windows服务器、终端未部署或未及时更新杀毒软件等漏洞和风险的信息系统更容易遭受该病毒侵害。

针对上述情况,请及时开展以下几方面的工作:
一是及时开展自查验证。为有效应对此次事件,国家网络与信息安全信息通报中心专门设立“互联网暴露系统查询云平台”(cii.gov110.cn),使用邀请码“37b853ace4”自主注册。登录后通过输入网段、域名、网站名称等关键字,可查询各自暴露在互联网上的IP、端口等网络设备信息,及时采取安全加固措施,进一步提高安全防范的针对性。
二是及时加强终端、服务器防护。所有服务器、终端应强行实施复杂密码策略,杜绝弱口令;安装杀毒软件、终端安全管理软件并及时更新病毒库;及时安装漏洞补丁;服务器开启关键日志收集功能,为安全事件的追溯提供基础。
三是严格控制端口管理。尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389;建议关闭远程桌面协议。
四是合理划分内网安全域。重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御,严格限制重要区域的访问权限。
五是强化业务数据备份。对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性;建立安全灾备预案,同时,做好备份系统与主系统的安全隔离,避免主系统和备份系统同时被攻击,影响业务连续性。
六是加强应急处置,加强监测。

                                                                     2019-03-007期
立足中国,走向世界,江民致力于成为中国反病毒领域的“西点军校”,江民科技→恶意代码分析与防御技术领导者!
回复

使用道具 举报

主题

帖子

0

积分

版主

赤豹•泰山个人杀软QQ群:144195035

Rank: 7Rank: 7Rank: 7

积分
0
 楼主| 发表于 2019-3-11 20:15:10 | 显示全部楼层

赤豹安全实验室发布GlobeImposter3.0预警:已瞄准多家大型医疗机构

本帖最后由 lindeng19880211 于 2019-3-11 20:16 编辑

1     威胁概述
近期,江民赤豹安全实验室发现GlobeImposter勒索病毒的3.0变种,在国内医疗行业爆发较为集中。通过分析发现该勒索家族加密的后缀名也随着变种的不同在进行变化,已经出现的变种加密后的后缀名有:.CHAK、.crypted!、.doc、.dream、.TRUE、..726、.Alcohol、.FREEMAN、.ALC0、.ALC02等,本次截获的最新样本会加密所有类型的文件,加密后会修改文件后缀名为“.Tiger4444”,该变种依旧是利用RSA+AES加密的方式,用户中招后无法对文件进行解密,赤豹安全实验室提醒广大用户及时采取应对措施。

2     恶意代码介绍
GlobeImposter勒索病毒家族是从2017年5月开始出现,并在2017年11月和2018年3月有两次较大范围的疫情爆发,江民防病毒软件在第一时间更新收录了该家族勒索病毒的特征,并在几次疫情爆发中有效阻止了病毒的勒索行为。在2017年11月前的GlobeImposter勒索病毒大部分被称为GlobeImposter1.0,此时的病毒样本加密后缀名以“.CHAK”较为常见,在2018年3月时出现了GlobeImposter2.0,此时的病毒样本加密后缀名以“.TRUE”,“.doc”较为常见,GlobeImposter也增加了很多新型的技术进行免杀等操作,最近爆发的GlobeImposter被各大厂商称为3.0版本,加密后缀名以“.Tiger4444”,“Ox4444”较为常见,GlobeImposter3.0版本主要是根据之前版本的代码简单改进得来,通过与GlobeImposter1.0对比可以发现其代码相似度高达86%,其核心代码基本没有变化,因此称其为GlobeImposter2.0+可能更加合适。

3     恶意代码危害
GlobeImposter3.0的主要危害依旧是会对受害者就行加密文件的勒索行为,由于采用的是RSA+AES的加密算法,用户在中招之后无法自行解密文件,最终造成文件数据的重大损失。
4     恶意代码传播方式
通过分析最新变种勒索软件发现并未具备其他传播途径,因此其主要传播方式还是垃圾邮件和RDP暴破植入。
5     恶意代码分析
详细分析报告获取请联系Market@jiangmin.com
6     处理方案
已经中招的用户暂时没有办法解密文件,可以将已加密的文件保管好等待互联网上安全人员公开相关解密工具,不要寄希望于付费进行解密,大部分情况都是骗局。用户应增强安全意识,完善安全防护体系,保持良好的上网习惯。江民赤豹网络安全实验室建议广大用户采取如下措施应对勒索软件攻击:
1. 不要轻易打开来历不明的邮件和邮件附件;
2. 设置高强度远程桌面登录密码并妥善保管;
3. 安装防病毒软件并保持良好的病毒库升级习惯;
4. 对重要的文件还需要做好合理的备份;
5. 对内网安全域进行合理划分,各个安全域之间限制严格的ACL,限制横向移动;
6. 关闭不必要的共享权限以及端口,如:3389、445、135、139。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用江民病毒威胁预警+防病毒软件,从终端到边界构建完整防御体系,全方位守护用户内网安全。

立足中国,走向世界,江民致力于成为中国反病毒领域的“西点军校”,江民科技→恶意代码分析与防御技术领导者!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

官方微信| Archiver|手机版|江民论坛

GMT+8, 2019-4-21 10:53 , Processed in 1.070354 second(s), 19 queries .

北京江民新科技术有限公司 版权所有 X3.4

Copyright © 1996- jiangmin.com All Rights Reserved

快速回复 返回顶部 返回列表