关于 GlobeImposter 的勒索病毒说明

GlobeImposter是近期非常活跃的勒索家族，首次出现在2017年5月份，此后，不断出现新的版本和变种。Globelmposter攻击手法都极其丰富, 通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。Globelmposter勒索病毒攻击目标，较多选择国内金蝶、用友软件的内置SQL Server或Oracle数据库作为承载点，向内网扩散，而Windows 2008或Windows 7等旧版本的机器较容易中毒。机器一旦遭受勒索病毒攻击，将会使绝大多数文件被加密算法修改，并添加一个特殊的后缀，且用户无法读取原本正常的文件，对用户造成无法估量的损失。由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具，必须拿到对应的解密私钥才有可能无损还原被加密文件。黑客正是通过这样的行为向受害用户勒索高昂的赎金，这些赎金必须通过数字货币支付，一般无法溯源，因此危害巨大。
针对层出不穷的勒索病毒变种，企业主要以预防为主，需要加强自身信息安全管理能力，尤其是弱口令、漏洞、文件共享和远程桌面的管理，主要预防措施如下：
1. 及时更新操作系统补丁，修复相关安全漏洞，例如(CVE-2019-0708，远程桌面服务远程执行代码漏洞)；
2. 对重要的数据文件定期进行备份并做离线处理。
3. 不要点击来源不明的邮件附件，不从不明网站下载软件；
4. 杜绝弱口令密码，加强密码管理，定期修改密码；
5. 配置账户锁定策略，在输入5次错误密码后禁止登陆；
6. 安装杀毒软件，设置退出或更改需要密码，防止进入关闭杀毒软件；
7. 服务器尽量关闭不必要的文件共享权限以及关闭不必要的端口，如：445,135,139,3389等；
8. 禁止外网发布3389端口，如果确实需要，可考虑通过VPN等安全方式连接内网；
9. Globelmposter勒索病毒之前的变种会利用RDP(远程桌面协议），因此建议关闭相应的RDP(远程桌面协议)。
当确认服务器已经被感染勒索病毒后，应当及时采取必要的自救措施，确保将影响范围和危害降到最低，主要应对措施如下：
1. 当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，可以采用断开网络或关机的方法，预防感染其他计算机，防止病毒扩散，造成更多数据损失；
2. 结束病毒进程，安装杀毒软件，查杀病毒，预防二次中毒加；
3. 备份加密数据，预防意外造成加密数据损坏无法解密；
4. 联系专业技术人士或安全从业者排查处理。

GlobeImposter勒索病毒的原理参考资料：
https://xz.aliyun.com/t/2711

有关 Globelmposter 勒索病毒以及其它的 Ransomware 的问题，请参考如下几个知识库：
这是一个老病毒变种的介绍和说明：
https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Ransom-EVE.aspx
https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Ransom-EVE/detailed-analysis.aspx
下面链接是一个详细的17页英文介绍：
https://www.sophos.com/en-us/medialibrary/PDFs/factsheets/sophos-btcware-ransomware-wpna.pdf

以下是几个有关Sophos勒索病毒的知识库，建议有时间时可以阅读一下，这样可以对用户有更好的支持和帮助。

Article ID: 120797
Title: Ransomware: Information and prevention
URL: https://sophos.com/kb/120797

Article ID: 124744
Title: Ransomware: Prevention advice for Sophos products
URL: https://sophos.com/kb/124744

---

Article ID: 124675
Title: Ransomware: Frequently asked questions
URL: https://sophos.com/kb/124675

---

Article ID: 124699
Title: Ransomware: How an attack works
URL: https://sophos.com/kb/124699

---

Article ID: 124679
Title: Ransomware: Recovery and removal
URL: https://sophos.com/kb/124679

如果遇到新样本，请一定尽快按下面知识库说明提交样本：

Article ID: 11490
Title: How to submit samples of suspicious files to Sophos
URL: https://sophos.com/kb/11490

文章转自内部邮件