　　近日，深信服安全團(tuán)隊(duì)發(fā)現(xiàn)多起國(guó)內(nèi)企業(yè)被勒索病毒攻擊事件，并呈現(xiàn)爆發(fā)的趨勢(shì)，經(jīng)過深信服安全團(tuán)隊(duì)深入跟蹤發(fā)現(xiàn)本次爆發(fā)的勒索病毒，依然是Globelmposter2.0家族的變種。由于Globelmposter采用RSA2048算法加密，目前該勒索樣本加密的文件無解密工具。深信服再次針對(duì)Globelmposter勒索家族發(fā)布預(yù)警，提醒廣大用戶做好安全防護(hù)，警惕Globelmposter 勒索。

病毒名稱：Globelmposter2.0 變種
病毒性質(zhì)：勒索病毒
影響范圍：國(guó)內(nèi)企業(yè)（包括政府單位、醫(yī)院等）接連中招，呈現(xiàn)爆發(fā)趨勢(shì)
危害等級(jí)：高危

　　病毒分析

　　1、病毒描述

　　早在今年2月全國(guó)各大醫(yī)院已經(jīng)爆發(fā)過Globelmposter2.0勒索病毒攻擊，攻擊手法極其豐富，可以通過社會(huì)工程，RDP爆破，惡意程序捆綁等方式進(jìn)行傳播，其加密的后綴名也不斷發(fā)生變化，之前的后綴名有：。TECHNO、。DOC、。CHAK、。FREEMAN、。TRUE，最新的Globelmposter2.0勒索病毒樣本的后綴名：FREEMAN、ALC0、ALC02、ALC03、RESERVE等。

　　這次爆發(fā)的樣本為Globelmposter2.0家族的變種，其加密文件使用RESERVE擴(kuò)展名，由于Globelmposter采用RSA2048算法加密，目前該勒索樣本加密的文件暫無解密工具，文件被加密后會(huì)被加上RESERVE后綴。在被加密的目錄下會(huì)生成一個(gè)名為”how_to_back_files”的html文件，顯示受害者的個(gè)人ID序列號(hào)以及黑客的聯(lián)系方式等。

　　2、樣本分析

　　開機(jī)自啟動(dòng)

　　病毒本體為一個(gè)win32 exe程序，其編譯時(shí)間為2018/4/3。病毒運(yùn)行后會(huì)將病毒本體復(fù)制到%LOCALAPPDATA%或%APPDATA%目錄，刪除原文件并設(shè)置自啟動(dòng)項(xiàng)實(shí)現(xiàn)開機(jī)自啟動(dòng)，注冊(cè)表項(xiàng)為

　　HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck。

　　加密勒索

　　加密對(duì)象：可移動(dòng)磁盤，固定磁盤，網(wǎng)絡(luò)磁盤三種類型的磁盤。

　　加密方式：

　　樣本通過RSA算法進(jìn)行加密，先通過CryptGenRandom隨機(jī)生成一組128位密鑰對(duì)，然后使用樣本中的硬編碼的256位公鑰生成相應(yīng)的私鑰，最后生成受害用戶的個(gè)人ID序列號(hào)。然后加密相應(yīng)的文件夾目錄和擴(kuò)展名，并將生成的個(gè)人ID序列號(hào)寫入到加密文件末尾，如下圖所示：

　　隱藏行為

　　通過該病毒中的Bat腳本文件能夠刪除：1、磁盤卷影 2、遠(yuǎn)程桌面連接信息 3、日志信息，從而達(dá)到潛伏隱藏的目的，其中的刪除日志功能，由于bat中存在語法錯(cuò)誤，所以未能刪除成功。

　　解決方案

　　針對(duì)已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶，由于暫時(shí)沒有解密工具，建議盡快對(duì)感染主機(jī)進(jìn)行斷網(wǎng)隔離。

　　深信服提醒廣大用戶盡快做好病毒檢測(cè)與防御措施，防范此次勒索攻擊。

　　病毒檢測(cè)查殺

　　1、深信服為廣大用戶免費(fèi)提供查殺工具，可下載如下工具，進(jìn)行檢測(cè)查殺。

　　http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

　　2、深信服EDR產(chǎn)品及防火墻等安全產(chǎn)品均具備病毒檢測(cè)能力，部署相關(guān)產(chǎn)品用戶可進(jìn)行病毒檢測(cè)。

　　病毒防御

及時(shí)給電腦打補(bǔ)丁，修復(fù)漏洞。
對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。
更改賬戶密碼，設(shè)置強(qiáng)密碼，避免使用統(tǒng)一的密碼，因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破，多臺(tái)遭殃。
Globelmposter勒索軟件之前的變種會(huì)利用RDP（遠(yuǎn)程桌面協(xié)議），如果業(yè)務(wù)上無需使用RDP的，建議關(guān)閉RDP。當(dāng)出現(xiàn)此類事件時(shí)，推薦使用深信服防火墻，或者終端檢測(cè)響應(yīng)平臺(tái)（EDR）的微隔離功能對(duì)3389等端口進(jìn)行封堵，防止擴(kuò)散！
深信服防火墻、終端檢測(cè)響應(yīng)平臺(tái)（EDR）均有防爆破功能，防火墻開啟此功能并啟用11080051、11080027、11080016規(guī)則，EDR開啟防爆破功能可進(jìn)行防御。

　　最后，建議企業(yè)對(duì)全網(wǎng)進(jìn)行一次安全檢查和殺毒掃描，加強(qiáng)防護(hù)工作。推薦使用深信服安全感知+防火墻+EDR，對(duì)內(nèi)網(wǎng)進(jìn)行感知、查殺和防護(hù)。

　　您可以通過以下方式聯(lián)系我們，獲取關(guān)于Globelmposter的免費(fèi)咨詢及支持服務(wù)：

　　1）撥打電話400-630-6430轉(zhuǎn)6號(hào)線（已開通勒索軟件專線）

　　2）關(guān)注【深信服技術(shù)服務(wù)】微信公眾號(hào)，選擇“智能服務(wù)”菜單，進(jìn)行咨詢

　　3）PC端訪問深信服社區(qū) bbs.sangfor.com.cn，選擇右側(cè)智能客服，進(jìn)行咨詢

亚洲综合伊人,成人欧美一区二区三区视频不卡,欧美日韩在线高清,日韩国产午夜一区二区三区,大胆美女艺术,一级毛片毛片**毛片毛片,你瞅啥图片

勒索病毒再次爆發(fā)、國(guó)內(nèi)多家企業(yè)中招Globelmposter2.0

評(píng)論排行

推薦閱讀

專題

大家都在看