- 病毒名稱:Globelmposter2.0 變種
- 病毒性質(zhì):勒索病毒
- 影響范圍:國內(nèi)企業(yè)(包括政府單位、醫(yī)院等)接連中招,呈現(xiàn)爆發(fā)趨勢
- 危害等級:高危
病毒分析
1、病毒描述
早在今年2月全國各大醫(yī)院已經(jīng)爆發(fā)過Globelmposter2.0勒索病毒攻擊,攻擊手法極其豐富,可以通過社會(huì)工程,RDP爆破,惡意程序捆綁等方式進(jìn)行傳播,其加密的后綴名也不斷發(fā)生變化,之前的后綴名有:。TECHNO、。DOC、。CHAK、。FREEMAN、。TRUE,最新的Globelmposter2.0勒索病毒樣本的后綴名:FREEMAN、ALC0、ALC02、ALC03、RESERVE等。
這次爆發(fā)的樣本為Globelmposter2.0家族的變種,其加密文件使用RESERVE擴(kuò)展名,由于Globelmposter采用RSA2048算法加密,目前該勒索樣本加密的文件暫無解密工具,文件被加密后會(huì)被加上RESERVE后綴。在被加密的目錄下會(huì)生成一個(gè)名為”how_to_back_files”的html文件,顯示受害者的個(gè)人ID序列號以及黑客的聯(lián)系方式等。
2、樣本分析
開機(jī)自啟動(dòng)
病毒本體為一個(gè)win32 exe程序,其編譯時(shí)間為2018/4/3。病毒運(yùn)行后會(huì)將病毒本體復(fù)制到%LOCALAPPDATA%或%APPDATA%目錄,刪除原文件并設(shè)置自啟動(dòng)項(xiàng)實(shí)現(xiàn)開機(jī)自啟動(dòng),注冊表項(xiàng)為
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck。
加密勒索
加密對象:可移動(dòng)磁盤,固定磁盤,網(wǎng)絡(luò)磁盤三種類型的磁盤。
加密方式:
樣本通過RSA算法進(jìn)行加密,先通過CryptGenRandom隨機(jī)生成一組128位密鑰對,然后使用樣本中的硬編碼的256位公鑰生成相應(yīng)的私鑰,最后生成受害用戶的個(gè)人ID序列號。然后加密相應(yīng)的文件夾目錄和擴(kuò)展名,并將生成的個(gè)人ID序列號寫入到加密文件末尾,如下圖所示:
隱藏行為
通過該病毒中的Bat腳本文件能夠刪除:1、磁盤卷影 2、遠(yuǎn)程桌面連接信息 3、日志信息,從而達(dá)到潛伏隱藏的目的,其中的刪除日志功能,由于bat中存在語法錯(cuò)誤,所以未能刪除成功。
解決方案
針對已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶,由于暫時(shí)沒有解密工具,建議盡快對感染主機(jī)進(jìn)行斷網(wǎng)隔離。
深信服提醒廣大用戶盡快做好病毒檢測與防御措施,防范此次勒索攻擊。
病毒檢測查殺
1、深信服為廣大用戶免費(fèi)提供查殺工具,可下載如下工具,進(jìn)行檢測查殺。
http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
2、深信服EDR產(chǎn)品及防火墻等安全產(chǎn)品均具備病毒檢測能力,部署相關(guān)產(chǎn)品用戶可進(jìn)行病毒檢測。
病毒防御
- 及時(shí)給電腦打補(bǔ)丁,修復(fù)漏洞。
- 對重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。
- 更改賬戶密碼,設(shè)置強(qiáng)密碼,避免使用統(tǒng)一的密碼,因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺被攻破,多臺遭殃。
- Globelmposter勒索軟件之前的變種會(huì)利用RDP(遠(yuǎn)程桌面協(xié)議),如果業(yè)務(wù)上無需使用RDP的,建議關(guān)閉RDP。當(dāng)出現(xiàn)此類事件時(shí),推薦使用深信服防火墻,或者終端檢測響應(yīng)平臺(EDR)的微隔離功能對3389等端口進(jìn)行封堵,防止擴(kuò)散!
- 深信服防火墻、終端檢測響應(yīng)平臺(EDR)均有防爆破功能,防火墻開啟此功能并啟用11080051、11080027、11080016規(guī)則,EDR開啟防爆破功能可進(jìn)行防御。
最后,建議企業(yè)對全網(wǎng)進(jìn)行一次安全檢查和殺毒掃描,加強(qiáng)防護(hù)工作。推薦使用深信服安全感知+防火墻+EDR,對內(nèi)網(wǎng)進(jìn)行感知、查殺和防護(hù)。
您可以通過以下方式聯(lián)系我們,獲取關(guān)于Globelmposter的免費(fèi)咨詢及支持服務(wù):
1)撥打電話400-630-6430轉(zhuǎn)6號線(已開通勒索軟件專線)
2)關(guān)注【深信服技術(shù)服務(wù)】微信公眾號,選擇“智能服務(wù)”菜單,進(jìn)行咨詢
3)PC端訪問深信服社區(qū) bbs.sangfor.com.cn,選擇右側(cè)智能客服,進(jìn)行咨詢
