简介

  此报告列举的是十二主神GlobeImposter系列勒索病毒常见名单,文件修复率预计在90%-99%,更多信息如下。

此勒索病毒近期最为活跃的有:Alpha865qqz,Pig865qqz,Artemis865,Tiger865qqz,Delta865qqz,Snake865qqz,Hades865

病毒通常首先会禁用Windows defender微软安全软件和其他杀毒软件,防止病毒程序被其删除、添加系统自启动、删除磁盘卷影停止数据库服务、挂载卷、遍历卷和网络共享资源并加入链表

现阶段勒索病毒都会使用RSA等非对称加密除系统文件以外的所有文件,然后自删除加密程序。加密后案例如下图

Alpha865qqz.Pig865qqz结尾包含865,865qq,865qqz的勒索病毒修复报告_第1张图片

Alpha865qqz.Pig865qqz结尾包含865,865qq,865qqz的勒索病毒修复报告_第2张图片


常见名单

  • .Ox4865qqz

  • .Alpha865qqz .Artemis865 .ALCO865qqz

  • .BIP865qqz

  • .COMBO865qqz .China865qqz

  • .Dragon865qqz .Dog865qqz .Delta865qqz

  • .Goat865qqz

  • .Help865qqz .Horse865qqz

  • .KRAB865qqz

  • .Monkey865qqz

  • .Pig865qqz

  • .Rat865qqz .Rooster865qqz .Rabbit865qqz .RESERVE865qqz

  • .Snake865qqz

  • .Tiger865qqz

历史部分名单

  • .Apollo865 .Ares865 .Aphrodite865 .Apollo865qq .Ares865qq .Artemis865qq .Aphrodite865qq

  • .Dionysus865 .Demeter865 .Dionysus865qq .Demeter865qq

  • .Hephaestus865 .Hades865 .Hera865 .Hephaestus865qq .Hera865qq .Hades865qq

  • .Poseidon865 .Persephone865 .Poseidon865qq .Persephone865qq

  • .Zeus865 .Zeus865qq



病毒感染途径

1. 网络钓鱼电子邮件单击嵌入在电子邮件中的链接,该链接将重定向到恶意网页。

2. 电子邮件附件打开电子邮件附件并启用恶意宏;或下载嵌入了远程访问木_马(RAT)的文档;或下载包含恶意JavaScript或Windows脚本宿主(WSH)文件的ZIP文件。

3. 社交媒体单击社交媒体帖子,即时通讯聊天等上的恶意链接。

4. 恶意广告单击带有恶意代码的合法广告网站。

5. 感染程序安装包含恶意代码的应用程序或程序。

6. 偷渡感染访问不安全,可疑或伪造的网页;或打开或关闭弹出窗口。注意:如果将恶意JavaScript代码注入网页内容中,则可能会破坏合法网页。

7. 重定向系统(TDS)单击合法网关网页上的链接,该链接会根据用户的地理位置,浏览器,操作系统或其他过滤器将用户重定向到恶意站点。

8. 自我传播通过网络和USB驱动器将恶意代码传播到其他设备。

9. 系统漏洞:通过系统漏洞进入windows


安全预防措施

  1. 服务器尽量不要开放外网端口。

  2. 不使用系统自带远程协助服务,使用其它远程管理软件,例如:TeamViewer或者瑞友天翼。

  3. 更改默认administrator管理帐户,禁用GUEST来宾帐户。

  4. 更改复杂密码,字母大小写,数字及符号组合的密码,不低于15位字符。

  5. 打好系统安全补丁,尤其是一些重要的,如MS17010等。

  6. 服务器不要有访问及修改内网计算机文件夹的权限。

  7. 尽量关闭不必要的文件共享权限,尽量关闭445,135,139,3389等不必要的端口

  8. 设置帐户锁定策略,在输入5次密码错误后禁止登录。

  9. 安装杀毒软件并及时更新病毒库版本,设置退出或更改需要密码,防止***进入关闭杀毒软件。

  10. 定期的一个数据异地备份,如是云服务器,一定要做好快照。(重中之重)

  11. 加强内部人员网络安全意识培训,降低安全风险。