- 病毒名稱(chēng):Globelmposter2.0 變種
- 病毒性質(zhì):勒索病毒
- 影響范圍:國內企業(yè)(包括政府單位、醫院等)接連中招,呈現爆發(fā)趨勢
- 危害等級:高危
病毒分析
1、病毒描述
早在今年2月全國各大醫院已經(jīng)爆發(fā)過(guò)Globelmposter2.0勒索病毒攻擊,攻擊手法極其豐富,可以通過(guò)社會(huì )工程,RDP爆破,惡意程序捆綁等方式進(jìn)行傳播,其加密的后綴名也不斷發(fā)生變化,之前的后綴名有:。TECHNO、。DOC、。CHAK、。FREEMAN、。TRUE,最新的Globelmposter2.0勒索病毒樣本的后綴名:FREEMAN、ALC0、ALC02、ALC03、RESERVE等。
這次爆發(fā)的樣本為Globelmposter2.0家族的變種,其加密文件使用RESERVE擴展名,由于Globelmposter采用RSA2048算法加密,目前該勒索樣本加密的文件暫無(wú)解密工具,文件被加密后會(huì )被加上RESERVE后綴。在被加密的目錄下會(huì )生成一個(gè)名為”how_to_back_files”的html文件,顯示受害者的個(gè)人ID序列號以及黑客的聯(lián)系方式等。
2、樣本分析
開(kāi)機自啟動(dòng)
病毒本體為一個(gè)win32 exe程序,其編譯時(shí)間為2018/4/3。病毒運行后會(huì )將病毒本體復制到%LOCALAPPDATA%或%APPDATA%目錄,刪除原文件并設置自啟動(dòng)項實(shí)現開(kāi)機自啟動(dòng),注冊表項為
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck。
加密勒索
加密對象:可移動(dòng)磁盤(pán),固定磁盤(pán),網(wǎng)絡(luò )磁盤(pán)三種類(lèi)型的磁盤(pán)。
加密方式:
樣本通過(guò)RSA算法進(jìn)行加密,先通過(guò)CryptGenRandom隨機生成一組128位密鑰對,然后使用樣本中的硬編碼的256位公鑰生成相應的私鑰,最后生成受害用戶(hù)的個(gè)人ID序列號。然后加密相應的文件夾目錄和擴展名,并將生成的個(gè)人ID序列號寫(xiě)入到加密文件末尾,如下圖所示:
隱藏行為
通過(guò)該病毒中的Bat腳本文件能夠刪除:1、磁盤(pán)卷影 2、遠程桌面連接信息 3、日志信息,從而達到潛伏隱藏的目的,其中的刪除日志功能,由于bat中存在語(yǔ)法錯誤,所以未能刪除成功。
解決方案
針對已經(jīng)出現勒索現象的用戶(hù),由于暫時(shí)沒(méi)有解密工具,建議盡快對感染主機進(jìn)行斷網(wǎng)隔離。
深信服提醒廣大用戶(hù)盡快做好病毒檢測與防御措施,防范此次勒索攻擊。
病毒檢測查殺
1、深信服為廣大用戶(hù)免費提供查殺工具,可下載如下工具,進(jìn)行檢測查殺。
http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
2、深信服EDR產(chǎn)品及防火墻等安全產(chǎn)品均具備病毒檢測能力,部署相關(guān)產(chǎn)品用戶(hù)可進(jìn)行病毒檢測。
病毒防御
- 及時(shí)給電腦打補丁,修復漏洞。
- 對重要的數據文件定期進(jìn)行非本地備份。
- 更改賬戶(hù)密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會(huì )導致一臺被攻破,多臺遭殃。
- Globelmposter勒索軟件之前的變種會(huì )利用RDP(遠程桌面協(xié)議),如果業(yè)務(wù)上無(wú)需使用RDP的,建議關(guān)閉RDP。當出現此類(lèi)事件時(shí),推薦使用深信服防火墻,或者終端檢測響應平臺(EDR)的微隔離功能對3389等端口進(jìn)行封堵,防止擴散!
- 深信服防火墻、終端檢測響應平臺(EDR)均有防爆破功能,防火墻開(kāi)啟此功能并啟用11080051、11080027、11080016規則,EDR開(kāi)啟防爆破功能可進(jìn)行防御。
最后,建議企業(yè)對全網(wǎng)進(jìn)行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服安全感知+防火墻+EDR,對內網(wǎng)進(jìn)行感知、查殺和防護。
您可以通過(guò)以下方式聯(lián)系我們,獲取關(guān)于Globelmposter的免費咨詢(xún)及支持服務(wù):
1)撥打電話(huà)400-630-6430轉6號線(xiàn)(已開(kāi)通勒索軟件專(zhuān)線(xiàn))
2)關(guān)注【深信服技術(shù)服務(wù)】微信公眾號,選擇“智能服務(wù)”菜單,進(jìn)行咨詢(xún)
3)PC端訪(fǎng)問(wèn)深信服社區 bbs.sangfor.com.cn,選擇右側智能客服,進(jìn)行咨詢(xún)
