最新動態(tài)

【高危事件預警】關(guān)于GlobeImposter變種勒索病毒預警

2019-03-13

【高危事件預警】關(guān)于GlobeImposter變種勒索病毒預警

近日,一種勒索病毒GlobeImposter再次變種后在網(wǎng)上傳播,目前該病毒已在多個省份出現(xiàn)感染情況。一旦感染該勒索病毒,網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)庫文件將被病毒加密,并須支付勒索資金才能恢復文件。


一、GlobeImposter勒索病毒的危害
GlobeImposter是目前流行的一類勒索病毒,此次變種為3.0版本,它會加密磁盤文件并篡改后綴名*4444形式,同時在被加密的目錄下會生成一個名為“HOW_TO_BACK_FILES”的txt文件,顯示受害者的個人ID序列號以及黑客的聯(lián)系方式等。
由于GlobeImposter3.0采用高強度非對稱加密方式,受害者在沒有私鑰的情況下無法恢復文件,如需恢復重要資料只能被迫支付贖金。通過分析發(fā)現(xiàn),該病毒不具備主動傳播性,被感染設(shè)備均是由黑客滲透進入內(nèi)網(wǎng)后,在目標主機上人工植入,該病毒具有極強的破壞性和針對性,目前很難被破解。

二、GlobeImposter勒索病毒的攻擊手法
該病毒的主要攻擊步驟如下:
第一步對服務(wù)器進行滲透,黑客通過弱口令爆破、端口掃描等攻擊手法,利用3389等遠程登陸開放端口,使用自動化攻擊腳本,用密碼字典暴力破解管理員賬號。
第二步對內(nèi)網(wǎng)其他機器進行滲透,攻擊者在打開內(nèi)網(wǎng)突破口后,會在內(nèi)網(wǎng)對其他主機進行口令爆破,利用網(wǎng)絡(luò)嗅探、多協(xié)議爆破等工具實施爆破。
第三步植入勒索病毒,在內(nèi)網(wǎng)橫向移動至一臺新的主機后,會嘗試進行手動或用工具卸載主機上安裝的防護軟件,手動植入勒索病毒。
第四步運行病毒,病毒自動執(zhí)行程序,對電腦內(nèi)文件進行加密,完成病毒攻擊過程。

三、網(wǎng)絡(luò)安全提示
經(jīng)安全專家分析,存在弱口令且Windows遠程桌面服務(wù)(3389端口)暴露在互聯(lián)網(wǎng)上、未做好內(nèi)網(wǎng)安全隔離、Windows服務(wù)器、終端未部署或未及時更新殺毒軟件等漏洞和風險的信息系統(tǒng)更容易遭受該病毒侵害。針對上述情況,請及時開展以下幾方面的工作:
1、及時加強終端、服務(wù)器防護。所有服務(wù)器、終端應(yīng)強行實施復雜密碼策略,杜絕弱口令;安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫;及時安裝漏洞補??;服務(wù)器開啟關(guān)鍵日志收集功能,為安全事件的追溯提供基礎(chǔ)。
2、嚴格控制端口管理。盡量關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口,如:445,135,139,3389;建議關(guān)閉遠程桌面協(xié)議。
3、合理劃分內(nèi)網(wǎng)安全域。重要業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)庫應(yīng)當設(shè)置獨立的安全區(qū)域并做好區(qū)域邊界的安全防御,嚴格限制重要區(qū)域的訪問權(quán)限。
4、做好業(yè)務(wù)數(shù)據(jù)備份。對業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進行及時備份,并驗證備份系統(tǒng)及備份數(shù)據(jù)的可用性;建立安全災備預案,同時,做好備份系統(tǒng)與主系統(tǒng)的安全隔離,避免主系統(tǒng)和備份系統(tǒng)同時被攻擊,影響業(yè)務(wù)連續(xù)性。

華云數(shù)據(jù)集團有限公司
2019年03月13日