免费注册
新闻中心

关于GlobeImposter勒索病毒攻击原理分析及应对措施通知

发布时间 :2018-09-25

尊敬的浪潮云用户:

您好!

关于做好CSG云中心及相关应用系统GlobeImposter勒索病毒安全防护工作的紧急通知

1.背景

Globelmposter家族首次出现在 2017 年5月,主要传播方式是通过向特定的用户发送垃圾邮件进行传播。今年2月全国各大医院已经爆发过Globelmposter2.0 勒索病毒攻击,攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名也不断发生变化,之前的后缀名有:.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE,最新的 Globelmposter2.0勒索病毒样本的后缀名:FREEMAN、ALC0、ALC02、ALC03、RESERVE 等。近日,深信服安全团队发现 Globelmposter 勒索病毒已经更新到 3.0 变种,受影响的系统,数据库文件被加密破坏,病毒将加密后的文件重命名为.Ox4444 扩展名,并要求用户通过邮件沟通赎金跟解密密钥等。目前国内企业(包括政府单位、医院等)接连中招,呈现爆发趋势。提醒各位浪潮云客户做好安全防护,警惕 Globelmposter勒索。

病毒名称:Globelmposter3.0 变种

病毒性质:勒索病毒

影响范围:已有多家国内企业接连中招,呈现爆发趋势

危害等级:高危

2. 病毒分析

2.1.病毒描述

这次爆发的样本为Globelmposter3.0 家族的变种,其加密文件使用Ox4444 扩展名,由于 Globelmposter 采用 RSA+AES 算法加密,目前该勒索样本加密的文件暂无解密工具,文件被加密后会被加上Ox4444 后缀。在被加密的目录下会生 成一个名为”HOW_TO_BACK_FILES”的 txt 文件,显示受害者的个人ID序列号以及黑客的联系方式等。

2.2.攻击过程还原

2.2.1. 开机启动

病毒本体为一个win32 exe程序,病毒运行后会将病毒本体复制到%LOCALAPPDATA%或%APPDATA%目录,删除原文件并设置自启动项实现开机自启动,注册表项为:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\R

unOnce\\BrowserUpdateCheck

2.2.2. 加密勒索

加密对象:可移动磁盘,固定磁盘,网络磁盘三种类型的磁盘。

加密方式:样本通过 RSA 算法进行加密,先通过 CryptGenRandom 随机生成一组

128 位密钥对,然后使用样本中的硬编码的 256 位公钥生成相应的私钥,最后生 成受害用户的个人 ID 序列号。然后加密相应的文件夹目录和扩展名,并将生成 的个人 ID 序列号写入到加密文件末尾,如下图所示:

2.2.3. 隐藏自身

该病毒释放出的 Bat 脚本文件通过删除:磁盘快照 、远程桌面连接信息、日志信息等方式来达到清除痕迹隐藏自身的目的。

2.2.4. 继续传播

该病毒会利用 RDP(远程桌面协议)进行传播,初步推断该病毒在运行后会扫描网络中开放了 RDP 的主机,当发现了开放 RDP 的主机后就会尝试枚举主机的用户名和密码,当枚举成功时,病毒就会通过 RDP 将自身传送到受害主机中并运行,开始新的一轮攻击。

2.3.风险等级

浪潮云对此事件的风险评级为:危急

3. 处置建议及应对措施

3.1.云控制台层面应对措施

一、关闭病毒传播端口( 445、3389 、135 、139 );

二、对操作系统口令进行修改,加强口令强度和口令复杂度;

三、将已感染病毒的云服务器进行系统重装;

四、创建云主机或云硬盘时开启云服务器备份功能;

3.2.网络层面

该病毒目前主要感染存在弱口令并且开启 RDP 的 windows 主机,存在枚举密码的行为。若控制台主机入侵检测发现某云主机遭到暴力破解成功,请切断服务器的外网连接,并检查该服务器是否中毒。如果业务上无需使 用远程桌面连接的,建议关闭(3389 端口)。

3.3.终端层面

利用 Windows Update 进行系统更新、打补丁修复漏洞

对未开启云服务器备份功能的云服务器中的重要数据文件定期进行备份

账户密码不低于 8 位,包含大小写字母、数字和特殊符号

避免使用统一的密码,统一的密码会导致一台被攻破,多台遭殃。

开启 RDP 登录次数限制:

点击开始,点击运行,输入 gpedit.msc,然后回车,打开“本地组策略编 辑器”

依次点击展开计算机配置--windows 设置--安全设置--账户策略--账户 锁定策略,双击右侧列表账户锁定阀值。

 输入允许的次数,点击确定:

3.4建议开启云服务器备份功能。

如有问题请及时拨打7x24小时客服电话: 400-603-1123与我们联系,再次感谢您对浪潮云的理解与支持。