病毒預警
近日,亞信安全截獲Globelmposter勒索病毒最新變種,該勒索病毒首次出現在2017年5月,到目前為止已經更新過多個版本。2018年亞信安全曾經多次發布該病毒預警,在過去的版本中,該病毒曾使用十二生肖英文名+數字的方式命名加密文件後綴(如:Rabbit666、Dragon666)。本次變種與之前不同之處在於加密文件後綴改用古希臘十二神的英文名+數字的方式進行命名(如:Ares666,Hermes666):
古希臘十二神的英文名:
其傳播方式與以往版本類似,黑客通過入侵企業內網利用RDP/SMB暴力破解在內網擴散,投放此勒索病毒,在進入內網後通過多種方法獲取登錄憑證並在內網橫向滲透傳播。亞信安全將其命名為Ransom.Win32.FAKEGLOBE.MRY。
攻擊流程解析
病毒技術細節分析
病毒首先會提升運行權限。
修改註冊表,添加啟動項以及進行常規的本地持久化操作。
通過調用CMD命令,停止常見的資料庫服務。
避免加密如下文件以及帶有如下擴展名的文件。
遍歷系統上的磁碟,加密磁碟上的文件。
通過刪除註冊表和Windows日誌管理工具的方式進行刪除日誌,卷影和遠程桌面登錄等信息操作。
調用命令刪除自己。
加密完成後,其會生成勒索贖金文件。
亞信安全教你如何防範
不要點擊來源不明的郵件以及附件;及時升級系統,打全系統補丁;儘量關閉不必要的文件共享權限和不必要的埠;採用高強度的密碼,避免使用弱口令密碼,並定期更換密碼;請注意備份重要文檔。備份的最佳做法是採取3-2-1規則,即至少做三個副本,用兩種不同格式保存,並將副本放在異地存儲。
亞信安全產品解決方案
亞信安全病毒碼版本15.225.60 ,雲病毒碼版本15.225.71,全球碼版本15.225.00已經可以檢測,請用戶及時升級病毒碼版本;使用防毒牆網絡版(OfficeScan)開啟針對勒索軟體(Ransomware)的行為阻止策略,可以有效攔截勒索病毒對系統中的文件進行加密,設置如下圖:
IOCs
00c4528a7b949228f6996591e641e899
50d71f705cb590e286cbd910b143c665
1df344f59ef9ca93fa8591498af5f57d