关于 GlobeImposter 的勒索病毒说明

GlobeImposter是近期非常活跃的勒索家族,首次出现在2017年5月份,此后,不断出现新的版本和变种。Globelmposter攻击手法都极其丰富, 通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。Globelmposter勒索病毒攻击目标,较多选择国内金蝶、用友软件的内置SQL Server或Oracle数据库作为承载点,向内网扩散,而Windows 2008或Windows 7等旧版本的机器较容易中毒。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且用户无法读取原本正常的文件,对用户造成无法估量的损失。由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,必须拿到对应的解密私钥才有可能无损还原被加密文件。黑客正是通过这样的行为向受害用户勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。
针对层出不穷的勒索病毒变种,企业主要以预防为主,需要加强自身信息安全管理能力,尤其是弱口令、漏洞、文件共享和远程桌面的管理,主要预防措施如下:
1. 及时更新操作系统补丁,修复相关安全漏洞,例如(CVE-2019-0708,远程桌面服务远程执行代码漏洞);
2. 对重要的数据文件定期进行备份并做离线处理。
3. 不要点击来源不明的邮件附件,不从不明网站下载软件;
4. 杜绝弱口令密码,加强密码管理,定期修改密码;
5. 配置账户锁定策略,在输入5次错误密码后禁止登陆;
6. 安装杀毒软件,设置退出或更改需要密码,防止进入关闭杀毒软件;
7. 服务器尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等;
8. 禁止外网发布3389端口,如果确实需要,可考虑通过VPN等安全方式连接内网;
9. Globelmposter勒索病毒之前的变种会利用RDP(远程桌面协议),因此建议关闭相应的RDP(远程桌面协议)。
当确认服务器已经被感染勒索病毒后,应当及时采取必要的自救措施,确保将影响范围和危害降到最低,主要应对措施如下:
1. 当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,可以采用断开网络或关机的方法,预防感染其他计算机,防止病毒扩散,造成更多数据损失;
2. 结束病毒进程,安装杀毒软件,查杀病毒,预防二次中毒加;
3. 备份加密数据,预防意外造成加密数据损坏无法解密;
4. 联系专业技术人士或安全从业者排查处理。

GlobeImposter勒索病毒的原理参考资料:
https://xz.aliyun.com/t/2711

有关 Globelmposter 勒索病毒以及其它的 Ransomware 的问题,请参考如下几个知识库:
这是一个老病毒变种的介绍和说明:
https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Ransom-EVE.aspx
https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Ransom-EVE/detailed-analysis.aspx
下面链接是一个详细的17页英文介绍:
https://www.sophos.com/en-us/medialibrary/PDFs/factsheets/sophos-btcware-ransomware-wpna.pdf

以下是几个有关Sophos勒索病毒的知识库,建议有时间时可以阅读一下,这样可以对用户有更好的支持和帮助。

Article ID: 120797
Title: Ransomware: Information and prevention
URL: https://sophos.com/kb/120797

Article ID: 124744
Title: Ransomware: Prevention advice for Sophos products
URL: https://sophos.com/kb/124744


Article ID: 124675
Title: Ransomware: Frequently asked questions
URL: https://sophos.com/kb/124675


Article ID: 124699
Title: Ransomware: How an attack works
URL: https://sophos.com/kb/124699


Article ID: 124679
Title: Ransomware: Recovery and removal
URL: https://sophos.com/kb/124679

如果遇到新样本,请一定尽快按下面知识库说明提交样本:

Article ID: 11490
Title: How to submit samples of suspicious files to Sophos
URL: https://sophos.com/kb/11490

文章转自内部邮件

你可能感兴趣的:(运维,安全,网络)