GlobeImposter是近期非常活躍的勒索家族,首次出現在2017年5月份,此後,不斷出現新的版本和變種。Globelmposter攻擊手法都極其豐富, 通過垃圾郵件、社交工程、滲透掃描、RDP爆破、惡意程序捆綁等方式進行傳播,其加密的後綴名也不斷變化。Globelmposter勒索病毒攻擊目標,較多選擇國內金蝶、用友軟件的內置SQL Server或Oracle數據庫作爲承載點,向內網擴散,而Windows 2008或Windows 7等舊版本的機器較容易中毒。機器一旦遭受勒索病毒攻擊,將會使絕大多數文件被加密算法修改,並添加一個特殊的後綴,且用戶無法讀取原本正常的文件,對用戶造成無法估量的損失。由於Globelmposter採用RSA+AES算法加密,目前該勒索樣本加密的文件暫無解密工具,必須拿到對應的解密私鑰纔有可能無損還原被加密文件。黑客正是通過這樣的行爲向受害用戶勒索高昂的贖金,這些贖金必須通過數字貨幣支付,一般無法溯源,因此危害巨大。
針對層出不窮的勒索病毒變種,企業主要以預防爲主,需要加強自身信息安全管理能力,尤其是弱口令、漏洞、文件共享和遠程桌面的管理,主要預防措施如下:
1. 及時更新操作系統補丁,修複相關安全漏洞,例如(CVE-2019-0708,遠程桌面服務遠程執行代碼漏洞);
2. 對重要的數據文件定期進行備份並做離線處理。
3. 不要點擊來源不明的郵件附件,不從不明網站下載軟件;
4. 杜絕弱口令密碼,加強密碼管理,定期修改密碼;
5. 配置賬戶鎖定策略,在輸入5次錯誤密碼後禁止登陸;
6. 安裝殺毒軟件,設置退出或更改需要密碼,防止進入關閉殺毒軟件;
7. 服務器儘量關閉不必要的文件共享權限以及關閉不必要的端口,如:445,135,139,3389等;
8. 禁止外網發佈3389端口,如果確實需要,可考慮通過VPN等安全方式連接內網;
9. Globelmposter勒索病毒之前的變種會利用RDP(遠程桌面協議),因此建議關閉相應的RDP(遠程桌面協議)。
當確認服務器已經被感染勒索病毒後,應當及時採取必要的自救措施,確保將影響範圍和危害降到最低,主要應對措施如下:
1. 當確認服務器已經被感染勒索病毒後,應立即隔離被感染主機,可以採用斷開網絡或關機的方法,預防感染其他計算機,防止病毒擴散,造成更多數據損失;
2. 結束病毒進程,安裝殺毒軟件,查殺病毒,預防二次中毒加;
3. 備份加密數據,預防意外造成加密數據損壞無法解密;
4. 聯繫專業技術人士或安全從業者排查處理。
GlobeImposter勒索病毒的原理參考資料:
https://xz.aliyun.com/t/2711
有關 Globelmposter 勒索病毒以及其它的 Ransomware 的問題,請參考如下幾個知識庫:
這是一個老病毒變種的介紹和說明:
https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Ransom-EVE.aspx
https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Ransom-EVE/detailed-analysis.aspx
下面鏈接是一個詳細的17頁英文介紹:
https://www.sophos.com/en-us/medialibrary/PDFs/factsheets/sophos-btcware-ransomware-wpna.pdf
以下是幾個有關Sophos勒索病毒的知識庫,建議有時間時可以閱讀一下,這樣可以對用戶有更好的支持和幫助。
Article ID: 120797
Title: Ransomware: Information and prevention
URL: https://sophos.com/kb/120797
Article ID: 124744
Title: Ransomware: Prevention advice for Sophos products
URL: https://sophos.com/kb/124744
Article ID: 124675
Title: Ransomware: Frequently asked questions
URL: https://sophos.com/kb/124675
Article ID: 124699
Title: Ransomware: How an attack works
URL: https://sophos.com/kb/124699
Article ID: 124679
Title: Ransomware: Recovery and removal
URL: https://sophos.com/kb/124679
如果遇到新樣本,請一定儘快按下面知識庫說明提交樣本:
Article ID: 11490
Title: How to submit samples of suspicious files to Sophos
URL: https://sophos.com/kb/11490
文章轉自內部郵件
