勒索病毒再次爆发,国内多家企业中招Globelmposter2.0
近日,某公司安全团队发现多起国内企业被勒索病毒攻击事件,并呈现爆发的趋势,经过某公司安全团队深入跟踪发现本次爆发的勒索病毒,依然是Globelmposter2.0家族的变种。由于Globelmposter采用RSA2048算法加密,目前该勒索样本加密的文件无解密工具。某公司再次针对Globelmposter勒索家族发布预警,提醒广大用户做好安全防护,警惕Globelmposter 勒索。
病毒名称:Globelmposter2.0 变种
病毒性质:勒索病毒
影响范围:国内企业(包括政府单位、医院等)接连中招,呈现爆发趋势
危害等级:高危
病毒分析
病毒描述
早在今年2月全国各大医院已经爆发过Globelmposter2.0勒索病毒攻击,攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名也不断发生变化,之前的后缀名有:.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE,最新的Globelmposter2.0勒索病毒样本的后缀名:FREEMAN、ALC0、ALC02、ALC03、RESERVE等。
这次爆发的样本为Globelmposter2.0家族的变种,其加密文件使用RESERVE扩展名,由于Globelmposter采用RSA2048算法加密,目前该勒索样本加密的文件暂无解密工具,文件被加密后会被加上RESERVE后缀。在被加密的目录下会生成一个名为”how_to_back_files”的html文件,显示受害者的个人ID序列号以及黑客的联系方式等。
样本分析
开机自启动
病毒本体为一个win32 exe程序,其编译时间为2018/4/3。病毒运行后会将病毒本体复制到%LOCALAPPDATA%或%APPDATA%目录,删除原文件并设置自启动项实现开机自启动,注册表项为
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck。
加密勒索
加密对象:可移动磁盘,固定磁盘,网络磁盘三种类型的磁盘。
加密方式:
样本通过RSA算法进行加密,先通过CryptGenRandom随机生成一组128位密钥对,然后使用样本中的硬编码的256位公钥生成相应的私钥,最后生成受害用户的个人ID序列号。然后加密相应的文件夹目录和扩展名,并将生成的个人ID序列号写入到加密文件末尾,如下图所示:
隐藏行为
通过该病毒中的Bat脚本文件能够删除:1、磁盘卷影 2、远程桌面连接信息 3、日志信息,从而达到潜伏隐藏的目的,其中的删除日志功能,由于bat中存在语法错误,所以未能删除成功。
解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。
某公司提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。
病毒检测查杀
1、某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
2、某公司EDR产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。
病毒防御
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
4、Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议),如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用某公司防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
5、某公司防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。
咨询与服务
您可以通过以下方式联系我们,获取关于Globelmposter的免费咨询及支持服务:
1)拨打电话400-630-6430转6号线(已开通勒索软件专线)
2)关注【某公司技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)PC端访问某公司社区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询
发表于 2018-8-23 16:08
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级 
