加強版GlobeImposter勒索病毒來襲 這樣防範

2021-01-10 環球網

近日,亞信安全網絡監測實驗室監測到大量GlobeImposter勒索病毒在我國傳播,此次勒索病毒變種繁多,被加密後的文件擴展名也各不相同,包括.crypted!、.doc和.TRUE等。GlobeImposter勒索病毒主要是通過垃圾郵件進行傳播,與以往不同的是,此次變種會通過郵件來告知受害者付款方式,勒索贖金從1到10比特幣不等。亞信安全相關產品已經可以檢測GlobeImposter家族,並將其命名為RANSOM_FAKEGLOBE。

Globelmposter家族首次出現時間為2017年5月,近日再次活躍,並有大量變種來襲。亞信安全已經攔截該家族的最新變種,將其命名為RANSOM_FAKEGLOBE.THAOLAH。

該病毒在被感染系統中生成如下自身拷貝文件:

• %Application Data%\{ Malware name }.exe

為達到自啟動目的,該病毒添加如下註冊表鍵值:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce BrowserUpdateCheck = %Application Data%\{Malware name}.exe

該病毒避免加密文件名中含有下列字符串的文件:

• {Malware name }

• how_to_back_files.html

• {GUID}

該病毒避免加密下列文件夾中的文件:

• Windows

• Microsoft

• Microsoft Help

• Windows App Certification Kit

• Windows Defender

• ESET

• COMODO

• Windows NT

• Windows Kits

• Windows Mail

• Windows Media Player

• Windows Multimedia Platform

• Windows PhoneKits

• Windows Phone Silverlight Kits

• Windows Photo Viewer

• WindowsPortable Devices

• Windows Sidebar

• WindowsPowerShell

• NVIDIA Corporation

• Microsoft.NET

• Internet Explorer

• Kaspersky Lab

• McAfee

• Avira

• spytech software

• Sysconfig

• Avast

• Dr.Web

• Symantec

• Symantec_Client_Security

• system volume information

• AVG

• Microsoft Shared

• Common Files

• Outlook Express

• Movie Maker

• Chrome

• Mozilla Firefox

• Opera

• YandexBrowser

• Ntldr

• Wsus

• ProgramData

被加密後的文件擴展名為:

• crypted!

其會在加密文件路徑下,生成如下勒索提示信息文件:

• how_to_back_files.html

生成的勒索提示文件,主要包括受害者個人的ID序列號和勒索者的聯繫方式:

勒索病毒不可能在短期內消失,網絡犯罪分子採取的戰術策略也在演變,其攻擊方式更加多樣化。對于勒索病毒的變種,亞信安全建議用戶可以通過部署防火牆、郵件網關等產品作為第一道防線,行為監控和漏洞防護產品則可以有效阻止威脅到達客戶端。具體防範措施如下:

• 不要點擊來源不明的郵件以及附件;

• 及時升級系統,打全系統補丁;

• 儘量關閉不必要的文件共享權限和不必要的埠;

• 請注意備份重要文檔。備份的最佳做法是採取3-2-1規則,即至少做三個副本,用兩種不同格式保存,並將副本放在異地存儲;

• 亞信安全病毒碼版本13.992.60 ,雲病毒碼版本13.992.71,全球碼版本13.991.00已經可以檢測到該病毒,請用戶及時升級病毒碼版本;

• 亞信安全終端安全產品OfficeScan具有勒索病毒防禦功能(AEGIS),可以有效阻攔勒索病毒對用戶文件加密;

• 亞信安全郵件安全網關產品,可以有效攔截勒索病毒郵件,做到在源頭上進行阻斷攔截。

相關焦點

  • 「網警提醒」請注意防範GlobeImposter勒索病毒!
    近年來,勒索病毒肆意在全球範圍內造成了巨大損失給網絡安全帶來嚴重威脅近期國家網絡與信息安全信息通報中心監測發現新型變種勒索病毒GlobeImposter攻擊我國政府部門和醫院等公立機構導致受感染系統無法正常運行
  • GlobeImposter家族勒索病毒「捲土重來」,騰訊企業安全「御點...
    2017年WannaCry、Petya、Bad Rabbit等勒索病毒的陰霾尚未完全消散,春節假期剛過,國內便再次發生多起勒索病毒攻擊事件。經騰訊企業安全分析發現,此次出現的勒索病毒正是GlobeImposter家族的變種,該勒索病毒將加密後的文件重命名為.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等擴展名,並通過郵件來告知受害者付款方式,使其獲利更加容易方便。  目前,騰訊企業安全已實時防禦該勒索病毒,並建議各大企業用戶使用騰訊企業安全「御點」防禦此類攻擊。
  • 國內多家大型企業遭遇GlobeImposter勒索病毒變種襲擊
    8月26日,騰訊智慧安全御見威脅情報中心監測,發現國內多省多家大型企業遭遇GlobeImposter勒索病毒攻擊。不法黑客入侵企業內網,利用RDP/SMB暴力破解在內網擴散,投放GlobeImposter勒索病毒,導致系統破壞,影響正常工作秩序。
  • GlobeImposter勒索病毒再度攻擊醫院 安全專家支招防禦
    近日,國內某醫院系統遭受GlobeImposter勒索病毒攻擊,導致醫院業務系統癱瘓,患者無法就醫。據悉,勒索病毒通過醫院的防火牆,感染了醫院的多臺伺服器,入侵整個系統,導致部分文件和應用被病毒加密破壞無法打開,資料庫文件被破壞,攻擊者要求院方必須在六小時內為每臺中招機器支付1比特幣贖金,才能解密文件。
  • GlobeImposter勒索病毒家族又爆全新變種,深信服安全專家支招
    勒索病毒「十二主神」2.0版本。 2.0版本針對中國大陸用戶更新了具有中文說明的勒索信息界面,截止目前,國內已有多家企業遭到攻擊,損失嚴重。深信服緊急提醒廣大用戶,防範此病毒攻擊!  如何防範勒索病毒,深信服安全專家為您支招  針對已經出現勒索現象的用戶
  • GlobeImposter勒索病毒「假貨」上線 破解密碼竟藏在這裡
    近日,騰訊安全御見威脅情報中心監測發現了一款利用WinRAR加密壓縮用戶文件假冒GlobeImposter的勒索病毒。該「勒索病毒」疑似通過SQL Server爆破攻擊,之後通過網絡下載攻擊代碼(含WinRAR加密模塊),將用戶數據文件使用WinRAR加密壓縮;隨後,攻擊者將再盜用GlobeImposter勒索病毒的勒索消息內容,冒充GlobeImposter勒索病毒恐嚇用戶,索取酬金。
  • Satan勒索病毒的屢敗屢戰:第四次更新來襲
    才被解密沒幾天Satan變身加強版再來襲最新版的Satan 4.6版本於12月初開始傳播,該版本依然使用「lucky」作為加密後綴,攻擊者加密件後要求受害用戶支付1個比特幣的贖金。與上一版的Satan(lucky版)相比,新版的Satan 4.6雖然隨機字符串生成的長度不一樣,但是只使用了前32個字節作為密鑰使用,新老區別只是生成字符集的不同。所以準確來說,Satan 4.6更像是Satan(lucky版)的加強版。
  • 瑞星提醒:勒索病毒GlobeImposter最新變種在國內大範圍傳播
    早在去年10月份,瑞星便發出GlobeImposter勒索病毒變種預警,呼籲用戶及時做好防禦措施。 近日,勒索病毒GlobeImposter最新變種在國內大範圍傳播,包括很多醫院在內的機構遭受了攻擊。早在去年10月份,瑞星便發出GlobeImposter勒索病毒變種預警,呼籲用戶及時做好防禦措施。
  • GlobeImposter勒索病毒偷襲兒童醫院 安全專家支招防禦
    據悉,該院多臺伺服器感染GlobeImposter勒索病毒,資料庫文件被病毒加密,只有支付比特幣贖金才能恢復文件。醫院信息系統因此而無法正常使用,取號、辦卡、掛號、收費等業務受到影響。儘管醫院快速啟動應急預案恢復了接診,但系統仍未完全恢復。
  • 假冒GlobeImposter勒索病毒攜WinRAR突襲 偽裝背後暗藏...
    近日,騰訊安全御見威脅情報中心監測發現了一款利用WinRAR加密壓縮用戶文件假冒GlobeImposter的勒索病毒。該「勒索病毒」疑似通過SQL Server爆破攻擊,之後通過網絡下載攻擊代碼(含WinRAR加密模塊),將用戶數據文件使用WinRAR加密壓縮;隨後,攻擊者將再盜用GlobeImposter勒索病毒的勒索消息內容,冒充GlobeImposter勒索病毒恐嚇用戶,索取酬金。
  • 360安全中心:勒索病毒GlobeImposter恐全面爆發
    中新網8月23日電 360網際網路安全中心發布緊急高危預警:自2018年8月21日起,多地發生GlobeImposter勒索病毒事件,此次攻擊目標主要是開始遠程桌面服務的伺服器,攻擊者通過暴力破解伺服器密碼,對內網伺服器發起掃描並人工投放勒索病毒,導致文件被加密。
  • 騰訊安全:GlobeImposter勒索病毒瞄準域伺服器下手,企業用戶需警惕
    如今「十二主神」不僅存在於神話中,還現身勒索病毒界,在加密文件後將後綴修改為「十二主神666」、「十二主神865」等。近期,騰訊安全應急響應中心接到某企業發來的求助,稱其區域網內8臺伺服器遭到了勒索病毒攻擊。收到求助後,騰訊安全專家快速進行了深入溯源分析,確認該企業經歷的是一起GlobeImposter勒索病毒利用域伺服器作為跳板的定向攻擊事件。
  • GlobeImposter勒索病毒偷襲醫院 360推出「遠程登錄保護」功能
    ,2月23日,湖北某醫院系統被植入勒索病毒,醫院系統癱瘓,黑客要求支付價值約30萬元人民幣的比特幣才能恢復正常。勒索病毒興風作浪 重點攻擊企業伺服器據了解,湖南某醫院多臺伺服器所感染的病毒名為GlobeImposter勒索病毒,感染該病毒後,導致資料庫文件被加密,醫院信息系統無法正常使用,取號、辦卡、掛號、收費等業務受到病毒影響,只有支付比特幣贖金才能恢復數據文件。
  • 勒索者GlobeImposter變種病毒 防毒牆應急解決方案
    二、解決方案近期GlobeImposter勒索者病毒爆發,金山安全第一時間收集到勒索者病毒樣本進行了入庫,實現勒索病毒文件過濾。GlobeImposter勒索病毒,為複合型惡意代碼,具備了文件感染和網絡層傳播、通訊兩大特徵,也是我們網關防病毒產品所重點關注和防禦的範圍,其攻擊擴散特徵也有利用微軟MS17-010漏洞,因此,現有的惡意代碼威脅庫即可識別、阻斷此漏洞利用通訊行為。GlobeImposter勒索者病毒網關處置先決條件:第一步.
  • 手機勒索病毒的技術分析與防範措施
    近日,比特幣勒索病毒在全國大範圍內出現爆發態勢,多家企業、醫療機構系統紛紛中招,損失非常慘重!  經獵豹移動安全中心監控數據,勒索病毒在智慧型手機端也有類似病毒持續活躍。2016高峰時期全球半月感染用戶數高達40萬,而國內也是此類病毒的重災區。  單一勒索病毒作者日收入可達500-600元。整個黑色產業在16年已達到千萬級別。
  • Globelmposter勒索病毒預警:從「十二生肖」到「十二主神」,為何...
    目前該病毒變種依然無法解密,已有多家醫院的多臺伺服器感染病毒,業務出現癱瘓,危害巨大。I2E中文科技資訊  一直以來,國內一直飽受Globelmposter勒索病毒的侵害,涉及不同行業,覆蓋行業有醫療、政府、能源、貿易等行業。
  • 防範勒索病毒的要點是:備份、備份、備份!
    毫不誇張的說,勒索病毒從來沒有被消滅過。每當你麻痺大意,或者覺得已經戰勝它的時候,它又會以另外一種「形態」出現,讓你措手不及。今天又提起關於「勒索病毒」這一老生常談的話題,主要是因為最近它又開始「作怪」了。
  • 騰訊安全:域伺服器成入侵跳板,企業遭GlobeImposter勒索損失慘重
    如今「十二主神」不僅存在於神話中,還現身勒索病毒界,在加密文件後將後綴修改為「十二主神666」、「十二主神865」等。Dlj中文科技資訊  近期,騰訊安全應急響應中心接到某企業發來的求助,稱其區域網內8臺伺服器遭到了勒索病毒攻擊。收到求助後,騰訊安全專家快速進行了深入溯源分析,確認該企業經歷的是一起GlobeImposter勒索病毒利用域伺服器作為跳板的定向攻擊事件。
  • 「病毒預警」植入「古希臘十二神」元素,Globelmposter勒索病毒新...
    病毒預警近日,亞信安全截獲Globelmposter勒索病毒最新變種,該勒索病毒首次出現在2017年5月,到目前為止已經更新過多個版本。本次變種與之前不同之處在於加密文件後綴改用古希臘十二神的英文名+數字的方式進行命名(如:Ares666,Hermes666):古希臘十二神的英文名:其傳播方式與以往版本類似,黑客通過入侵企業內網利用RDP/SMB暴力破解在內網擴散,投放此勒索病毒,在進入內網後通過多種方法獲取登錄憑證並在內網橫向滲透傳播。
  • 關於防範勒索軟體病毒的緊急通知
    關於防範勒索軟體病毒的緊急通知       5月