GlobeImposter3.0变种勒索病毒来袭再次肆虐全国各医院

作者:   深圳市网安计算机安全检测技术有限公司 2019/03/13 12:03:25 90次阅读 国际
文章来源:https://www.toutiao.com/a6667454795177001480/

GlobeImposter3.0勒索软件是GlobeImposter的一个新的变种,该病毒虽然对具体行业并没有针对性,但发现遭受攻击的是医院用户。该勒索软件利用暴力破解植入,主要针对开启Windows远程桌面的服务器。勒索软件运行后,会加密磁盘空间中除Windows目录下和.****4444后缀外的所有可执行文件、文本文件、图片文件、文档文件、数据库文件、Windows快捷方式等,导致关键数据或程序无法访问,从而导致业务系统瘫痪。

GlobeImposter3.0变种勒索病毒来袭再次肆虐全国各医院

不良影响

该勒索软件执行后会对带有如下类型文件进行加密,包含:音频、视频、数据库、文本……加密后的文件名在原文件名称上增加.****4444后缀,如Rat4444、Tiger4444、Snake4444、Monkey4444、Dog4444等,因此也被称为“生肖”勒索软件。

由于GlobeImposter使用RSA2048算法加密,当前尚无有效的方案还原加密后的数据。

解决方案

对于感染主机直接拔除网线,断开网络连接

由于采用非对称的加密算法,用户遭受攻击后,一般情况下,很难恢复数据,但部分勒索软件因软件实现逻辑问题,有一定还原机率。为了对抗勒索软件,众多杀软公司联合推出的解密工具:https://www.nomoreransom.org/,可以破解部分勒索软件病毒家族,用户可以进行尝试还原。

对于尚未遭受攻击的用户,请使用如下建议进行操作

勒索软件采用弱口令爆破,利用3389端口远程登录,植入病毒。

  • 建议关闭主机RDP协议(会影响远程桌面功能)并在防火墙及交换机对445、3389、135、139等端口进行封堵,防止扩散。
  • 不点击来源不明的邮件以及附件,尤其是如下扩展名的附件: .js,.vbs,.exe,.scr,.bat等,附件中可能包含密码抓取工具或病毒。

安全加固防护

  • 更改默认Administrator管理帐户密码,禁用GUEST来宾帐户;
  • 更改为复杂密码,由字母大小写,数字及特殊符号组合的密码,不低于10位字符;不要使用电话号码,工号等纯数字作为账号密码。
  • 设置帐户锁定策略,在输入5次密码错误后禁止登录;
  • 及时更新Windows补丁 ,安装杀毒软件,设置退出或更改需要密码,防止进入关闭杀毒软件;
  • 定期进行数据备份,如果是云服务器,一定要做好快照。

华为安全设备防护建议

对于已购买USG系列下一代防火墙、FireHunter6000系列沙箱、IPS的用户,将检测引擎和病毒库更新至最新版本。部署华为USG防火墙及沙箱FireHunter6000组合可对勒索病毒进行有效防护:

  • 部署防火墙,阻断勒索病毒投递前的侦测行为,如:爆破、漏洞利用;
  • 部署支持“诱捕”特性的交换机和防火墙,诱导勒索病毒入侵仿真业务并捕获其入侵行为,降低真实系统被攻击的概率,最大限度减少损失;
  • 部署沙箱设备,检测邮件中的文件, 防火墙可将流量还原成文件,并将需要检测的文件发送到沙箱进行检测。
指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室