关于 GlobeImposter 的勒索病毒说明
GlobeImposter是近期非常活跃的勒索家族,首次出现在2017年5月份,此后,不断出现新的版本和变种。Globelmposter攻击手法都极其丰富, 通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。Globelmposter勒索病毒攻击目标,较多选择国内金蝶、用友软件的内置SQL Server或Oracle数据库作为承载点,向内网扩散,而Windows 2008或Windows 7等旧版本的机器较容易中毒。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且用户无法读取原本正常的文件,对用户造成无法估量的损失。由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,必须拿到对应的解密私钥才有可能无损还原被加密文件。黑客正是通过这样的行为向受害用户勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。
针对层出不穷的勒索病毒变种,企业主要以预防为主,需要加强自身信息安全管理能力,尤其是弱口令、漏洞、文件共享和远程桌面的管理,主要预防措施如下:
1. 及时更新操作系统补丁,修复相关安全漏洞,例如(CVE-2019-0708,远程桌面服务远程执行代码漏洞);
2. 对重要的数据文件定期进行备份并做离线处理。
3. 不要点击来源不明的邮件附件,不从不明网站下载软件;
4. 杜绝弱口令密码,加强密码管理,定期修改密码;
5. 配置账户锁定策略,在输入5次错误密码后禁止登陆;
6. 安装杀毒软件,设置退出或更改需要密码,防止进入关闭杀毒软件;
7. 服务器尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等;
8. 禁止外网发布3389端口,如果确实需要,可考虑通过VPN等安全方式连接内网;
9. Globelmposter勒索病毒之前的变种会利用RDP(远程桌面协议),因此建议关闭相应的RDP(远程桌面协议)。
当确认服务器已经被感染勒索病毒后,应当及时采取必要的自救措施,确保将影响范围和危害降到最低,主要应对措施如下:
1. 当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,可以采用断开网络或关机的方法,预防感染其他计算机,防止病毒扩散,造成更多数据损失;
2. 结束病毒进程,安装杀毒软件,查杀病毒,预防二次中毒加;
3. 备份加密数据,预防意外造成加密数据损坏无法解密;
4. 联系专业技术人士或安全从业者排查处理。
GlobeImposter勒索病毒的原理参考资料:
https://xz.aliyun.com/t/2711
有关 Globelmposter 勒索病毒以及其它的 Ransomware 的问题,请参考如下几个知识库:
这是一个老病毒变种的介绍和说明:
https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Ransom-EVE.aspx
https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Ransom-EVE/detailed-analysis.aspx
下面链接是一个详细的17页英文介绍:
https://www.sophos.com/en-us/medialibrary/PDFs/factsheets/sophos-btcware-ransomware-wpna.pdf
以下是几个有关Sophos勒索病毒的知识库,建议有时间时可以阅读一下,这样可以对用户有更好的支持和帮助。
Article ID: 120797
Title: Ransomware: Information and prevention
URL: https://sophos.com/kb/120797
Article ID: 124744
Title: Ransomware: Prevention advice for Sophos products
URL: https://sophos.com/kb/124744
Article ID: 124675
Title: Ransomware: Frequently asked questions
URL: https://sophos.com/kb/124675
Article ID: 124699
Title: Ransomware: How an attack works
URL: https://sophos.com/kb/124699
Article ID: 124679
Title: Ransomware: Recovery and removal
URL: https://sophos.com/kb/124679
如果遇到新样本,请一定尽快按下面知识库说明提交样本:
Article ID: 11490
Title: How to submit samples of suspicious files to Sophos
URL: https://sophos.com/kb/11490
文章转自内部邮件
关于 GlobeImposter 的勒索病毒说明相关推荐
- 美创安全实验室|2020年9月勒索病毒报告
本月,美创安全实验室威胁平台监测到多起勒索病毒攻击事件,发现勒索病毒的活跃情况呈上升趋势,常年霸榜的Phobos.Globelmposter.Dharma三大勒索病毒家族为2020年9月勒索病毒&qu ...
- GlobeImposter勒索病毒新变种C4H东山再起
0x0 背景介绍 随着疫情的缓解,各地企业纷纷复工,而勒索病毒家族也并没有停下他们的脚步.近期深信服安全团队就收到多个地区关于用户主机遭受大面积.C4H勒索病毒入侵的求助,经过安全团队排查分析,确认为 ...
- “不给钱就删库”的勒索病毒, 程序员该如何防护?
作者 | 阿木,王洪鹏,运营有个人公众号新新生活志.目前任职网易云计算技术部高级工程师,近3年云计算从业经验,爱读书.爱写作.爱技术. 责编 | 郭芮 来源 | CSDN(ID:CSDNnews) 近 ...
- 最近后缀.Scaletto,.com}KBK,com}BET,.Fuchsi勒索病毒开始爆发…
注意,最近后缀.com}AOL,.com}KBK,.com}MGH,.com}BET,.Scaletto,.Fuchsi,.com,.guesswho,.bat,.aes128ctr,勒索病毒开始爆发 ...
- 通过AWS云平台 构建云上勒索病毒防护体系,轻松保护数据完整性
最近几年,勒索病毒成为许多企业安全管理者谈之色变的话题.从早期的WannaCry,到最新的GlobeImposter,各种勒索病毒以及其变种对企业的数据完整性保护提出了极大的挑战,其中针对制造业.政府 ...
- 2019年7月勒索病毒疫情分析
勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁.360安全大脑针对勒索病毒进行了全方位的监控与防御.从本月数据来看,反勒索服务反馈量有小幅度上升,其中Stop是反馈量上升最大的一个家族. 360解 ...
- 360安全专家提醒:Mallox勒索病毒来袭,应尽快部署终端安全产品加强防护
近日, 360 安全大脑监测发现多起Mallox勒索病毒攻击事件.该病毒主要针对企业的Web应用发起攻击,包括Spring Boot.Weblogic.通达OA等,在拿下目标设备权限后还会尝试在内网中 ...
- Globeimposter-Alpha865qqz勒索病毒数据恢复|金蝶、用友、管家婆、OA、速达、ERP等软件数据库恢复
目录 引言: 第一部分:认识.Globeimposter-Alpha865qqz勒索病毒 第二部分:深入了解.Globeimposter-Alpha865qqz勒索病毒的加密过程 第三部分:.Glob ...
- 【转】2019上半年勒索病毒家族概览
看图移步原文 截至2019年6月,勒索病毒的活跃度依旧高居不下,相对于刚进入大众视野时的"蠕虫式"爆发,如今的勒索病毒攻击活动越发具有目标性.隐蔽性,攻击者通常会破坏入侵过程留下的 ...
最新文章
- SSE图像算法优化系列一:一段BGR2Y的SIMD代码解析。
- 信息学奥赛一本通(C++)在线评测系统——基础(一)C++语言——1093:计算多项式的值
- koa --- [MVC实现之四]Router、Controller、Service的实现
- humanize时间库使用及汉化
- Python数据分析:pandas玩转Excel(二)
- java 状态机_Java 数据持久化系列之池化技术
- 混频器的噪声来源与抑制方法
- git报错-执行git pull 报错信息:error: 工作区中下列未跟踪的文件将会因为合并操作而被覆盖:
- Java 接口 及其在 Minecraft mod中相关应用
- 服务器kvm切换器维修,服务器数字KVM切换器
- 如何安装最纯净的win7系统
- C语言在一个数组中查找一个数字
- RK3588平台开发系列讲解(文件系统篇)Linux 文件系统简介
- 兼容性 IBM 芯片内部 真空管
- 四轴平面机器人的手眼标定
- ZOJ Monthly,Feburary 2012 部分题解
- 苹果自带输入法怎么换行_微信个性签名怎么弄成竖的?不仅可以竖着还可以加边框效果!...
- 英语单词词性顺口溜_英语词性修饰关系顺口溜
- SQL Server 系统时间
- 苹果关闭自动更新_苹果App Store内购软件更新方法