安全公告
当前位置: 首页>>网络安全>>安全公告>>正文
关于GlobeImposter3.0变种勒索病毒的安全公告
2019-03-12   消息来源:亚信安全   (点击: )

大工网安告[2019]008号

一、情况分析

GlobeImposter2.0勒索病毒变种在2018年8月份再次发现,攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化,有:

.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE,.ALC0、.ALC02、.ALC03、.RESERVE等。

Globelmposter3.0变种,其加密文件使用*4444扩展名,由于Globelmposter3.0采用RSA+AES算法加密,目前该勒索病毒加密的文件暂无解密工具,文件被加密后会被加上*4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES.txt”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。

二、病毒特点

GlobeImposter3.0勒索家族习惯以垃圾邮件方式和扫描渗透的方式进行传播,但近期勒索病毒的攻击过程极可能为Windows远程桌面服务密码被暴 力破解后植入勒索病毒。

该勒索病毒常用RSA+AES加密方式,其中AES密钥的生成方式并不是通过传统的随机函数等生成,而是通过CoCreateGuid函数生成全局唯一标识符,并将该标识符做为AES加密算法的secret key。

自动删除远程桌面连接信息及事件日志。

三、处置建议

  1. 不要点击来源不明的邮件以及附件;

  2. 及时升级系统、及时安装系统补丁;

  3. 对重要服务器和主机进行软件加固;

  4. 关闭不必要的共享权限以及端口;

  5. 对重要文件进行实时备份;

  6. 采用高强度密码,避免使用弱密码,并定期更换 密码。