GlobeImposter.RESERVE勒索病毒

电脑中了勒索病毒的变种GlobeImposter.RESERVE，如图1和图2  它把电脑的所有文件和应用程序的后缀名都变成了.RESERVE

图1

图2

 

病毒将所有的文件进行加密，无法打开。加密文件时病毒生成一个how_to _back_files.html文件如图3所示

图3

 

打开how_to _back_files.html文件如图4和图5所示，显示了个人的ID序列号，以及恶意软件作者的联系方式，内容属于勒索内容

图4

图5

简单分析：

       中了毒，用杀毒软件杀毒已经无济于事，不小心还可能删了自己的文件，想破解精神可嘉而已 。此病毒使用了对称加密和非对称加密算法，加密文件时为了提高加密速度，使用了对称加密算法AES算法加密文件，使用本地生成的RSA公钥，将AES算法的密钥加密，使用病毒攻击者的RSA公钥将本地生成的RSA私钥加密，因此想要解密文件需要攻击者的RSA私钥

建议：

        1、一经发现先断网

        2、给没有中毒的服务器打补丁

       3、备份好文件

       4、关闭服务器相关的端口139、445、3389

       5、不要点击来源不明的邮件以及附件

       6、增强口令强度，限制地址登陆，精确到MAC地址，因为攻击者在打开内网突破口后，会在内网对其他主机进行口令暴破。在内网横向移动至一台新的主机后，会尝试进行包括但不限于以下操作：手动或用工具卸载主机上安装的防护软件、 下载或上传黑客工具包、手动启用远程控制以及勒索病毒

       7、如果数据重要，企业想强大，请不要吝啬，多买安全设备，雇佣专业人才，完善管理制度。