【病毒預警】GlobeImposter勒索病毒變種預警

2018-08-27 16:10:17

     近日,亞信安全網絡監測實驗室監測到大量GlobeImposter勒索病毒變種在我國傳播,并呈現爆發的趨勢。早在今年2月該勒索病毒曾對國內多數企事業單位發動過攻擊,時隔半年,該病毒變種后再次爆發。此次勒索病毒變種繁多,因此被加密后的文件擴展名也各不相同,其包括.ALCO、ALC02、ALC03和RESERVE等。本次截獲的GlobeImposter勒索病毒變種主要攻擊開啟遠程桌面服務的服務器,通過RDP弱口令暴力破解方式進行傳播,亞信安全已經可以檢測該勒索病毒,并將其命名為Ransom_FAKEGLOBE.SMB。

病毒技術細節分析 
Ransom_FAKEGLOBE.SMB病毒行為分析:
該病毒在被感染系統中生成如下自身拷貝文件:

  • %AppDataLocal%\{MalwareName}.exe


在系統目錄中生成如下文件:

  • %SystemRoot%\Users\Public\B26A340109A0081ADF57D63647533B8681DC0B8E159BE052385ED4024E9CFFBC


為達到自啟動目的,該病毒添加如下注冊表鍵值:
     HKEY_CURRENT_USER\Software\Microsoft\
     Windows\CurrentVersion\RunOnce
     BrowserUpdateCheck = %Application Data%\{Malware name}.exe

圖片關鍵詞

被加密后的文件擴展名為:

  • ALCO

其會在加密文件路徑下,生成如下勒索提示信息文件:

  • how_to_back_files.html

生成的勒索提示文件,主要包括受害者個人的ID序列號和勒索者的聯系方式:

圖片關鍵詞

解決方案
由于Globelmposter變種采用RSA2048算法加密,目前該勒索病毒加密的文件無法解密,亞信安全再次提醒用戶警惕該病毒,做好預防工作。
1、不要點擊來源不明的郵件以及附件;
2、及時升級系統,打全系統補丁;
3、盡量關閉不必要的文件共享權限和不必要的端口;
4、請注意備份重要文檔。備份的最佳做法是采取3-2-1規則,即至少做三個副本,用兩種不同格式保存,
     并將副本放在異地存儲。

亞信安全解決方案:
1、亞信安全病毒碼版本14.455.60 ,云病毒碼版本14.455.71,全球碼版本14.455.00已經可以檢測,請用
     戶及時升級病毒碼版本;
2、使用防毒墻網絡版(OfficeScan)開啟針對勒索軟件(Ransomware)的行為阻止策略,可以有效攔截勒
     索病毒對系統中
的文件進行加密,設置如下圖:

圖片關鍵詞

總結
       勒索病毒不可能在短期內消失,網絡犯罪分子采取的戰術策略也在演變,其攻擊方式更加多樣化。對于勒索病毒的變種,我們建議用戶可以通過部署防火墻、郵件網關等產品作為第一道防線。行為監控和漏洞防護產品則可以有效阻止威脅到達客戶端







陕西陕西十一选五开奖