騰訊安全:域伺服器成入侵跳板,企業遭GlobeImposter勒索損失慘重

2021-01-07 中文科技資訊

  在古希臘神話中,有著備受人們崇敬的奧林匹斯十二主神,他們擁有不同的神力,各司其職,掌管著世間萬物。如今「十二主神」不僅存在於神話中,還現身勒索病毒界,在加密文件後將後綴修改為「十二主神666」、「十二主神865」等。Dlj中文科技資訊

  近期,騰訊安全應急響應中心接到某企業發來的求助,稱其區域網內8臺伺服器遭到了勒索病毒攻擊。收到求助後,騰訊安全專家快速進行了深入溯源分析,確認該企業經歷的是一起GlobeImposter勒索病毒利用域伺服器作為跳板的定向攻擊事件。經勘察,該病毒通過RDP爆破入侵,在控制域伺服器後,攻擊者會在內網掃描入侵更多機器再次進行勒索加密,造成大面積病毒感染情況發生。Dlj中文科技資訊

Dlj中文科技資訊

  (圖:GlobeImposter勒索病毒入侵示意圖)Dlj中文科技資訊

  據騰訊安全技術專家介紹,一旦企業域伺服器被攻擊者控制,意味著整個企業所有域內計算機系統都置於險境,可能導致企業大量機密信息洩露。病毒攻擊者通過弱口令爆破、埠掃描等攻擊手法打開內網突破口,再利用網絡嗅探、多協議爆破等工具遠程攻擊內網中的其它機器,進行人工投毒。加密文件完成後會主動添加擴展後綴,包括十二生肖及十二主神等系列,同時留下勒索說明文件,向受害者勒索比特幣贖金。值得一提的是,目前被GlobeImposter病毒加密的文檔,在未得到密鑰前暫時無法解密。Dlj中文科技資訊

Dlj中文科技資訊

  (圖:GlobeImposter勒索病毒界面)Dlj中文科技資訊

  作為當前信息安全領域影響面最廣的一類惡意程序,勒索病毒通常通過加密文件等方式勒索錢財。今年8月以來,GlobeImposter勒索病毒感染情況整體呈現波峰狀上漲趨勢,對能源、網際網路及傳統行業造成了不小的衝擊,其中能源行業受到感染的比例最高,達29%,主要是由於該行業伺服器數據價值較高,有利於不法黑客提升其勒索贖金的成功率。Dlj中文科技資訊

Dlj中文科技資訊

  (圖:GlobeImposter勒索病毒近期感染行業分布)Dlj中文科技資訊

  事實上,這樣的攻擊事件早已經不是第一次。GlobeImposter勒索病毒最早出現於2017年5月,持續活躍至今。2018年春節年後,國內曾連續出現兩起醫院遭遇勒索病毒的惡性事件,攻擊者入侵醫院信息系統,致使資料庫文件被加密,醫院系統癱瘓,患者無法正常接受治療,造成難以彌補的危害。Dlj中文科技資訊

  為保護企業用戶免受GlobeImposter勒索病毒攻擊危害,騰訊安全反病毒實驗室負責人馬勁松建議企業網管,立即修改遠程桌面連接使用弱口令,複雜口令可以減少伺服器被不法黑客爆破成功的機會。管理員應對遠程桌面服務使用的IP位址進行必要限制,或修改默認的3389埠為自定義,配置防火牆策略,阻止攻擊者IP連接。對於已經受到勒索病毒感染的用戶,可參考https://s.tencent.com/ls/ 頁面上《勒索病毒應急響應指導手冊》進行處置。Dlj中文科技資訊

  另外,可以通過計算機組策略修改「帳戶鎖定策略」,限制登錄次數為3-10以內,防止不法黑客破解。具體操作步驟如下:運行gpedit.msc,打開組策略編輯器,在計算機設置->安全設置->帳戶策略->帳戶鎖定策略,將帳戶鎖定的閾值設定稍小一些。Dlj中文科技資訊

Dlj中文科技資訊

  (圖:帳戶鎖定閾值設定)Dlj中文科技資訊

  企業用戶可部署安裝騰訊御點終端安全管理系統及騰訊御界高級威脅檢測系統,及時檢測針對企業內網的爆破攻擊事件,提供行業解決方案,全方位、立體化保障企業用戶的網絡安全。對於個人用戶,建議實時開啟騰訊電腦管家等主流安全軟體加強防護,並啟用文檔守護者功能備份重要文檔,有效防禦此類病毒攻擊。Dlj中文科技資訊

相關焦點

  • 騰訊安全:GlobeImposter勒索病毒瞄準域伺服器下手,企業用戶需警惕
    如今「十二主神」不僅存在於神話中,還現身勒索病毒界,在加密文件後將後綴修改為「十二主神666」、「十二主神865」等。近期,騰訊安全應急響應中心接到某企業發來的求助,稱其區域網內8臺伺服器遭到了勒索病毒攻擊。收到求助後,騰訊安全專家快速進行了深入溯源分析,確認該企業經歷的是一起GlobeImposter勒索病毒利用域伺服器作為跳板的定向攻擊事件。
  • GlobeImposter家族勒索病毒「捲土重來」,騰訊企業安全「御點...
    經騰訊企業安全分析發現,此次出現的勒索病毒正是GlobeImposter家族的變種,該勒索病毒將加密後的文件重命名為.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等擴展名,並通過郵件來告知受害者付款方式,使其獲利更加容易方便。  目前,騰訊企業安全已實時防禦該勒索病毒,並建議各大企業用戶使用騰訊企業安全「御點」防禦此類攻擊。
  • 國內多家大型企業遭遇GlobeImposter勒索病毒變種襲擊
    8月26日,騰訊智慧安全御見威脅情報中心監測,發現國內多省多家大型企業遭遇GlobeImposter勒索病毒攻擊。不法黑客入侵企業內網,利用RDP/SMB暴力破解在內網擴散,投放GlobeImposter勒索病毒,導致系統破壞,影響正常工作秩序。
  • 勒索病毒「Satan」新變種來襲 騰訊電腦管家可解密恢復
    來源:洞察網作為2018年最為活躍的勒索病毒之一,撒旦(Satan)利用多種漏洞入侵企業內網,給用戶帶來一定的網絡安全隱患,甚至造成重大財產損失。近日,騰訊電腦管家監測到國內一大批伺服器遭入侵,經分析確認,發現植入的勒索病毒為最新的Satan4.2勒索病毒變種。目前,騰訊電腦管家已全面攔截撒旦勒索病毒最新變種,用戶無需恐慌,但仍然需要對來歷不明的文件保持警惕,保護個人文檔安全。
  • GlobeImposter勒索病毒偷襲兒童醫院 安全專家支招防禦
    據郴州網警巡查執法官方微博消息,國內一省級兒童醫院今天上午8時左右信息系統發生故障,醫院隨即啟動了應急預案,增派人力接診滯留病人,同時加大了就醫流程的巡查,確保醫療安全,10時30分左右醫院門診已恢復接診,急診危急重症病人通道暢通。  據悉,該院多臺伺服器感染GlobeImposter勒索病毒,資料庫文件被病毒加密,只有支付比特幣贖金才能恢復文件。
  • 360安全中心:勒索病毒GlobeImposter恐全面爆發
    中新網8月23日電 360網際網路安全中心發布緊急高危預警:自2018年8月21日起,多地發生GlobeImposter勒索病毒事件,此次攻擊目標主要是開始遠程桌面服務的伺服器,攻擊者通過暴力破解伺服器密碼,對內網伺服器發起掃描並人工投放勒索病毒,導致文件被加密。
  • 安全預警!假冒GlobeImposter勒索病毒攜WinRAR突襲 偽裝背後暗藏...
    以垃圾郵件進行傳播攻擊而著稱的「GlobeImposter」又出現了,它早已成為企業和個人用戶數據和系統安全不容忽視的威脅之一,備受用戶關注的同時也受到攻擊者們關注,甚至出現了一位「冒充者」。近日,騰訊安全御見威脅情報中心監測發現了一款利用WinRAR加密壓縮用戶文件假冒GlobeImposter的勒索病毒。
  • GlobeImposter勒索病毒「假貨」上線 破解密碼竟藏在這裡
    近日,騰訊安全御見威脅情報中心監測發現了一款利用WinRAR加密壓縮用戶文件假冒GlobeImposter的勒索病毒。對於中招的企業和個人用戶,騰訊安全技術專家提醒切莫盲目繳納贖金,嘗試使用WinRAR解壓文件,解壓密碼為lll.hc3t6b9s8kz5r26,即可完全恢復文件。同時,建議儘快修補SQLServer漏洞,使用安全密碼,停止使用弱口令,避免伺服器被再次攻擊。推薦用戶使用騰訊御點終端安全管理系統或騰訊電腦管家進行查殺和實時防護。
  • GlobeImposter勒索病毒偷襲醫院 360推出「遠程登錄保護」功能
    24日,湖南省某醫院伺服器中招,所有數據文件被強行加密,系統癱瘓使得患者無法正常就醫。專家提示,360安全衛士「遠程登錄保護」功能可有效預防針對企業伺服器的弱口令爆破攻擊。勒索病毒興風作浪 重點攻擊企業伺服器據了解,湖南某醫院多臺伺服器所感染的病毒名為GlobeImposter勒索病毒,感染該病毒後,導致資料庫文件被加密,醫院信息系統無法正常使用,取號、辦卡、掛號、收費等業務受到病毒影響,只有支付比特幣贖金才能恢復數據文件。
  • 「網警提醒」請注意防範GlobeImposter勒索病毒!
    近年來,勒索病毒肆意在全球範圍內造成了巨大損失給網絡安全帶來嚴重威脅近期國家網絡與信息安全信息通報中心監測發現新型變種勒索病毒GlobeImposter攻擊我國政府部門和醫院等公立機構導致受感染系統無法正常運行
  • GlobeImposter勒索病毒再度攻擊醫院 安全專家支招防禦
    近日,國內某醫院系統遭受GlobeImposter勒索病毒攻擊,導致醫院業務系統癱瘓,患者無法就醫。據悉,勒索病毒通過醫院的防火牆,感染了醫院的多臺伺服器,入侵整個系統,導致部分文件和應用被病毒加密破壞無法打開,資料庫文件被破壞,攻擊者要求院方必須在六小時內為每臺中招機器支付1比特幣贖金,才能解密文件。
  • 勒索病毒Mr.Dec變種瞄準國內政企 騰訊安全專家這樣支招
    加密重要文件、支付高額勒索費用、竊取個人隱私、伺機發起攻擊……這樣的勒索病毒你怕嗎?近日,騰訊安全御見威脅情報中心監測發現一例勒索病毒Mr.Dec家族最新變種,該病毒主要針對政府部門、企業等機構進行攻擊。
  • 騰訊安全《2017年勒索病毒盤點報告》 揭秘未來勒索病毒五大傳播趨勢
    日前,騰訊安全發布《2017年勒索病毒盤點報告》(以下簡稱報告),通過分析勒索病毒常見傳播方式和盤點2017年重大勒索病毒事件,對2018年勒索病毒傳播新趨勢做出預判,並針對普通用戶和企業用戶提供了有效的安全防範建議。
  • GlobeImposter勒索病毒家族又爆全新變種,深信服安全專家支招
    該變種通過社會工程、RDP暴力破解入侵組織網絡,給全國多個省份企業用戶及政府醫療教育單位造成了不小的衝擊,其加密後修改文件後綴為「希臘十二主神 + 666」,如下圖所示。 2.0版本針對中國大陸用戶更新了具有中文說明的勒索信息界面,截止目前,國內已有多家企業遭到攻擊,損失嚴重。深信服緊急提醒廣大用戶,防範此病毒攻擊!
  • 騰訊安全:勒索和挖礦雙開花!Satan勒索病毒變種來襲
    作為 2018年度最為活躍的勒索病毒之一,Satan(撒旦)進入 2019年之後持續更新迭代病毒,不斷出現病毒變種,企圖攫取更多利益。近日,騰訊安全御見威脅情報中心監測發現Satan勒索病毒變種樣本。(圖:Satan病毒變種勒索提示頁面)該病毒成功入侵網絡系統後,會同時植入勒索病毒和挖礦病毒,企圖形成一體化、蠕蟲化攻擊趨勢,以此進一步消耗受害者計算機資源。
  • 騰訊安全:新型勒索病毒Ryuk目標鎖定政企 勒索金額高達75萬
    在勒索病毒界,有一個與日本系列漫畫《死亡筆記》中虛構人物死神同名的Ryuk勒索家族,在北美地區肆虐橫行, 曾在半年間非法獲利近400萬美元。目前,Ryuk勒索家族的魔爪已伸向國內,感染部分用戶。近日,騰訊安全御見威脅情報中心捕獲到國內的一例Ryuk勒索病毒攻擊事件。
  • 幽靈勒索病毒再度來襲,加密上百種常用文件
    經分析發現,攻擊者通過發送釣魚郵件,誘導受害者打開並運行附件中的惡意JS腳本,進而下載Shade(幽靈)勒索病毒。該勒索病毒會下載CMS暴力破解工具入侵Wordpress、Drupal、Joomla、Dle等CMS站點,之後再通過這些被入侵的站點繼續傳播Shade(幽靈)勒索病毒。截止目前,已有超過2000個CMS站點遭到入侵。
  • 騰訊:247家全國三甲醫院檢出勒索病毒,廣東、湖北最多
    從醫療行業被勒索病毒入侵的方式上看,勒索病毒主要通過系統漏洞入侵和埠爆破,然後利用永恆之藍漏洞工具包傳播,一旦不法黑客得以入侵內網,還會利用更多攻擊工具在區域網內橫向擴散。根據調查分析,國內各醫療機構大多都有及時修復高危漏洞的意識,但由於資產管理不到位,導致少數機器依然存在風險,給了不法分子可乘之機。
  • 瑞星提醒:勒索病毒GlobeImposter最新變種在國內大範圍傳播
    據瑞星反病毒專家稱,GlobeImposter 勒索病毒主要是通過RDP遠程桌面弱口令進行攻擊,由於很多用戶設置的密碼過於簡單,很容易被攻擊者暴力破解,將勒索病毒植入機器中加密文件。此外,攻擊者入侵一臺機器後還會利用工具抓取本機密碼,從而攻擊區域網中的其它機器進行人工投毒。
  • WannaCry爆發一周年 騰訊安全揭勒索病毒黑色產業鏈
    一年前,一個叫「WannaCry」的勒索病毒突然大規模爆發,席捲全球150多個國家,造成高達80億美元的經濟損失。一年後,這個大型勒索病毒事件帶來的負面影響仍然難以消除:其背後的「永恆之藍」漏洞利用頻頻復現;大型企事業單位屢次遭遇勒索病毒攻擊;勒索變種層出不窮,並開始從發達城市向偏遠地區擴散。