扫一扫关注我们
沪ICP备 12026360号
扫一扫关注我们
近日,勒索病毒Globelmposter家族最新变种再次在国内疯狂传播,主要以国内公共机构服务器为主要攻击对象,目前已有很多医疗机构及企业单位因该病毒的侵袭而系统瘫痪,对业务的连续性造成了严重的影响。
Globelmposter家族首次出现在2017年5月份,2018年2月份全国各大医院受Globelmposter2.0勒索病毒攻击,导致业务系统被加密,严重影响了医院的正常业务连续性,在2018年8月份又出现了3.0版本,导致全国多家法院等政企事业单位被勒索加密,2018年12月份,深信服EDR安全团队又在第一时间发现了一例加密后缀为”.fuck“的新Globelmposter勒索病毒变种。Globelmposter勒索病毒这两年的安全威胁热度一直居高不下,攻击手法也极为丰富,可以通过社会工程、RDP爆破、恶意程序捆绑等方式传播,其加密的后缀名也层出不穷,Globelmposter2.0后缀:TECHNO,DOC,FREEMAN,TRUE,ALC0,ALC02,ALC03,RESERVE等;Globelmposter3.0变种后缀以*4444结尾,采用RSA+AES算法加密,目前暂无解密工具,文件被加密后会被加上Ox4444,China4444,Help4444,Rat4444,Tiger4444,Rabbit4444,Dragon4444,Snake4444,Horse4444,Goat4444, Monkey4444,Rooster4444、Dog4444等后缀。
在2019年3月17日(星期日)上午8点,我司又一次接到客户报修,称有台服务器中毒,我们也在第一时间联合安全厂商赶赴客户现场,立即将中毒服务器物理断网并进行安全检查,发现此台服务器已被勒索病毒Globelmposter2.0感染,如下图:
从上图中可以看出,所有文件加密后均被附上了RESERVE后缀,并在加密目录下生成一个名为“how_to_back_files”的html文件,显示受害者的个人ID以及黑客的联系方式等。
随后,我们对客户服务器中的病毒样本进行了分析,发现病毒主体为一个win32.exe程序,其编译时间为2018年4月3日.
在对病毒样本作进一步分析后,得知此样本在运行后会将自身复制到%LOACLAPPDATA%或者%APPDATA%目录中,原文件则会被删除。
并在注册表“HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck“ 的位置设置开机自启动。
此病毒可对可移动移盘、固定磁盘以及网络磁盘中的文件进行加密,在加密过程中会跳过一些系统文件夹不进行加密,以保证系统的正常运行。
在病毒活动过程当中,还利用BAT文件删除磁盘卷影、删除远程桌面连接信息、删除日志信息等,抹除所有自活动日志。
我们在进行病毒样本采集和分析的同时,在内网部署了深信服态势感知、SIP和STA,并在所有服务器安装了EDR,对全网进行监测及防御,最终发现一共有9台服务器受到了勒索病毒的侵袭,由于目前并没有解密工具的存在,同时也为了防止二次感染,我们陪同客户一起将所有中毒的服务器机进行系统重装并重新搭建了应用服务,于当日下午17点恢复了所有业务。
此次事件,再次给我们提了个醒,病毒肆虐的今天预防手段极为重要,一旦被病毒感染,轻则数据丢失,重则业务中断,严重影响生产,因此我们郑重建议:
1、日常工作当中,不要点击来源不明的邮件以及附件
2、内网搭建补丁更新服务器,主机开启自动更新,定期检查更新补丁
3、定期对业务数据及其它重要数据进行异地、非正常文件式的备份
4、建议使用深信服下一代防火墙(NGAF),开启WEB应用防护、IPS防护、僵尸网络防护等功能对内网进行整体的安全加固防护。
5、网络边界封堵135、137、138、139、445、3389等共享端口
6、推荐搭建深信服态感知系统、SIP和STA,并在每台服务器和终端安装EDR客户端,实现全网实时监测与防御。
