緊急預警:Globelmposter再爆3.0變種,大型醫院已中招
作者:星期一, 八月 27, 20180

近日,深信服安全團隊發現Globelmposter勒索病毒已經更新到3.0變種,受影響的系統,數據庫文件被加密破壞,病毒將加密后的文件重命名為.Ox4444擴展名,并要求用戶通過郵件溝通贖金跟解密密鑰等。目前國內多家大型醫院中招,呈現爆發趨勢。深信服緊急預警,提醒廣大用戶做好安全防護,警惕Globelmposter 勒索。

病毒名稱:Globelmposter3.0 變種

病毒性質:勒索病毒

影響范圍:已有多家醫院中招,呈現爆發趨勢

危害等級:高危

病毒分析

01. 病毒描述

Globelmposter 勒索病毒今年的安全威脅熱度一直居高不下。早在今年2月全國各大醫院已經爆發過Globelmposter2.0勒索病毒攻擊,攻擊手法極其豐富,可以通過社會工程,RDP爆破,惡意程序捆綁等方式進行傳播,其加密的后綴名也不斷變化,有:

.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE,.ALC0、.ALC02、.ALC03、.RESERVE等。最新Globelmposter3.0變種后綴為.Ox4444。

這次爆發的樣本為Globelmposter3.0家族的變種,其加密文件使用Ox4444擴展名,由于Globelmposter采用RSA+AES算法加密,目前該勒索樣本加密的文件暫無解密工具,文件被加密后會被加上Ox4444后綴。在被加密的目錄下會生成一個名為”HOW_TO_BACK_FILES”的txt文件,顯示受害者的個人ID序列號以及黑客的聯系方式等。

02. 樣本分析

  • 開機自啟動

病毒本體為一個win32 exe程序,病毒運行后會將病毒本體復制到%LOCALAPPDATA%或%APPDATA%目錄,刪除原文件并設置自啟動項實現開機自啟動,注冊表項為

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck。

  • 加密勒索

加密對象:可移動磁盤,固定磁盤,網絡磁盤三種類型的磁盤。

加密方式:

樣本通過RSA算法進行加密,先通過CryptGenRandom隨機生成一組128位密鑰對,然后使用樣本中的硬編碼的256位公鑰生成相應的私鑰,最后生成受害用戶的個人ID序列號。然后加密相應的文件夾目錄和擴展名,并將生成的個人ID序列號寫入到加密文件末尾,如下圖所示:

  • 隱藏行為

通過該病毒中的Bat腳本文件能夠刪除:1、磁盤卷影 2、遠程桌面連接信息 3、日志信息,從而達到潛伏隱藏的目的,其中的刪除日志功能,由于bat中存在語法錯誤,所以未能刪除成功。

解決方案

近期已有大量用戶中招Globelmposter病毒,包括2.0和3.0變種。 針對已經出現勒索現象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網隔離。

深信服提醒廣大用戶盡快做好病毒檢測與防御措施,防范此次勒索攻擊。

  • 病毒檢測查殺

1、深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

2、深信服EDR產品及防火墻、安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品用戶可進行病毒檢測。

  • 病毒防御

1. 及時給電腦打補丁,修復漏洞。

2. 對重要的數據文件定期進行非本地備份。

3. 更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。

4. Globelmposter勒索軟件之前的變種會利用RDP(遠程桌面協議),如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服防火墻,或者終端檢測響應平臺(EDR)的微隔離功能對3389等端口進行封堵,防止擴散!

5. 深信服防火墻、終端檢測響應平臺(EDR)均有防爆破功能,防火墻開啟此功能并啟用11080051、11080027、11080016規則,EDR開啟防爆破功能可進行防御。

最后,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服安全感知+防火墻+EDR,對內網進行感知、查殺和防護。

 

分享:
0

相關文章

寫一條評論

 

 

0條評論