在古希臘神話中,有著備受人們崇敬的奧林匹斯十二主神,他們擁有不同的神力,各司其職,掌管著世間萬物。如今「十二主神」不僅存在於神話中,還現身勒索病毒界,在加密文件後將後綴修改為「十二主神666」、「十二主神865」等。
近期,騰訊安全應急響應中心接到某企業發來的求助,稱其區域網內8臺伺服器遭到了勒索病毒攻擊。收到求助後,騰訊安全專家快速進行了深入溯源分析,確認該企業經歷的是一起GlobeImposter勒索病毒利用域伺服器作為跳板的定向攻擊事件。經勘察,該病毒通過RDP爆破入侵,在控制域伺服器後,攻擊者會在內網掃描入侵更多機器再次進行勒索加密,造成大面積病毒感染情況發生。
(圖:GlobeImposter勒索病毒入侵示意圖)
據騰訊安全技術專家介紹,一旦企業域伺服器被攻擊者控制,意味著整個企業所有域內計算機系統都置於險境,可能導致企業大量機密信息洩露。病毒攻擊者通過弱口令爆破、埠掃描等攻擊手法打開內網突破口,再利用網絡嗅探、多協議爆破等工具遠程攻擊內網中的其它機器,進行人工投毒。加密文件完成後會主動添加擴展後綴,包括十二生肖及十二主神等系列,同時留下勒索說明文件,向受害者勒索比特幣贖金。值得一提的是,目前被GlobeImposter病毒加密的文檔,在未得到密鑰前暫時無法解密。
(圖:GlobeImposter勒索病毒界面)
作為當前信息安全領域影響面最廣的一類惡意程序,勒索病毒通常通過加密文件等方式勒索錢財。今年8月以來,GlobeImposter勒索病毒感染情況整體呈現波峰狀上漲趨勢,對能源、網際網路及傳統行業造成了不小的衝擊,其中能源行業受到感染的比例最高,達29%,主要是由於該行業伺服器數據價值較高,有利於不法黑客提升其勒索贖金的成功率。
(圖:GlobeImposter勒索病毒近期感染行業分布)
事實上,這樣的攻擊事件早已經不是第一次。GlobeImposter勒索病毒最早出現於2017年5月,持續活躍至今。2018年春節年後,國內曾連續出現兩起醫院遭遇勒索病毒的惡性事件,攻擊者入侵醫院信息系統,致使資料庫文件被加密,醫院系統癱瘓,患者無法正常接受治療,造成難以彌補的危害。
為保護企業用戶免受GlobeImposter勒索病毒攻擊危害,騰訊安全反病毒實驗室負責人馬勁松建議企業網管,立即修改遠程桌面連接使用弱口令,複雜口令可以減少伺服器被不法黑客爆破成功的機會。管理員應對遠程桌面服務使用的IP位址進行必要限制,或修改默認的3389埠為自定義,配置防火牆策略,阻止攻擊者IP連接。對於已經受到勒索病毒感染的用戶,可參考https://s.tencent.com/ls/ 頁面上《勒索病毒應急響應指導手冊》進行處置。
另外,可以通過計算機組策略修改「帳戶鎖定策略」,限制登錄次數為3-10以內,防止不法黑客破解。具體操作步驟如下:運行gpedit.msc,打開組策略編輯器,在計算機設置->安全設置->帳戶策略->帳戶鎖定策略,將帳戶鎖定的閾值設定稍小一些。
(圖:帳戶鎖定閾值設定)
企業用戶可部署安裝騰訊御點終端安全管理系統及騰訊御界高級威脅檢測系統,及時檢測針對企業內網的爆破攻擊事件,提供行業解決方案,全方位、立體化保障企業用戶的網絡安全。對於個人用戶,建議實時開啟騰訊電腦管家等主流安全軟體加強防護,並啟用文檔守護者功能備份重要文檔,有效防禦此類病毒攻擊。