GlobeImposter3.0变种勒索病毒再次肆虐全国各医院

2019-03-14 09:33:43 文/快资讯 作者/ 就要买买买 信息安全

GlobeImposter3.0勒索软件是GlobeImposter的一个新的变种,该病毒虽然对具体行业并没有针对性,但发现遭受攻击的是医院用户。

病毒分析

GlobeImposter3.0勒索软件是GlobeImposter的一个新的变种,该病毒虽然对具体行业并没有针对性,但发现遭受攻击的是医院用户。该勒索软件利用暴力破解植入,主要针对开启Windows远程桌面的服务器。勒索软件运行后,会加密磁盘空间中除Windows目录下和.****4444后缀外的所有可执行文件、文本文件、图片文件、文档文件、数据库文件、Windows快捷方式等,导致关键数据或程序无法访问,从而导致业务系统瘫痪。

不良影响

该勒索软件执行后会对带有如下类型文件进行加密,包含:音频、视频、数据库、文本……加密后的文件名在原文件名称上增加.****4444后缀,如Rat4444、Tiger4444、Snake4444、Monkey4444、Dog4444等,因此也被称为“生肖”勒索软件。

由于GlobeImposter使用RSA2048算法加密,当前尚无有效的方案还原加密后的数据。

解决方案

对于感染主机直接拔除网线,断开网络连接

由于采用非对称的加密算法,用户遭受攻击后,一般情况下,很难恢复数据,但部分勒索软件因软件实现逻辑问题,有一定还原机率。为了对抗勒索软件,众多杀软公司联合推出的解密工具:http://www.nomoreransom.org/,可以破解部分勒索软件病毒家族,用户可以进行尝试还原。

对于尚未遭受攻击的用户,请使用如下建议进行操作

勒索软件采用弱口令爆破,利用3389端口远程登录,植入病毒。

建议关闭主机RDP协议(会影响远程桌面功能)并在防火墙及交换机对445、3389、135、139等端口进行封堵,防止扩散。

不点击来源不明的邮件以及附件,尤其是如下扩展名的附件: .js,.vbs,.exe,.scr,.bat等,附件中可能包含密码抓取工具或病毒。

安全加固防护

更改默认Administrator管理帐户密码,禁用GUEST来宾帐户;

更改为复杂密码,由字母大小写,数字及特殊符号组合的密码,不低于10位字符;不要使用电话号码,工号等纯数字作为账号密码。

设置帐户锁定策略,在输入5次密码错误后禁止登录;

及时更新Windows补丁 ,安装杀毒软件,设置退出或更改需要密码,防止进入关闭杀毒软件;

定期进行数据备份,如果是云服务器,一定要做好快照。

华为安全设备防护建议

对于已购买USG系列下一代防火墙、FireHunter6000系列沙箱、IPS的用户,将检测引擎和病毒库更新至最新版本。部署华为USG防火墙及沙箱FireHunter6000组合可对勒索病毒进行有效防护:

部署防火墙,阻断勒索病毒投递前的侦测行为,如:爆破、漏洞利用;

部署支持“诱捕”特性的交换机和防火墙,诱导勒索病毒入侵仿真业务并捕获其入侵行为,降低真实系统被攻击的概率,最大限度减少损失;

部署沙箱设备,检测邮件中的文件, 防火墙可将流量还原成文件,并将需要检测的文件发送到沙箱进行检测。

注:Globelmposter3.0是勒索病毒变种,处置方法与勒索病毒可通用。

免责声明:凡注明为其它来源的信息均转自其它平台,由网友自主投稿和发布、编辑整理上传,对此类作品本站仅提供交流平台,不为其版权负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。联系邮箱:leixiao@infoobs.com