網站首頁 > 熱門病毒專題 > 【預警】GlobeImposter3.0來襲:多家大型醫療機構中招
 
標題:【預警】GlobeImposter3.0來襲:多家大型醫療機構中招
分類:熱門病毒專題 日期:2018/9/5 上午 10:58:37
 

1 威脅概述

近期,江民赤豹安全實驗室發現GlobeImposter勒索病毒的3.0變種,在國內醫療行業爆發較為集中。通過分析發現該勒索家族加密的後綴名也隨著變種的不同在進行變化,已經出現的變種加密後的後綴名有:.CHAK、.crypted!、.doc、.dream、.TRUE、..726 、.Alcohol、.FREEMAN、.ALC0、.ALC02等,本次截獲的最新本加密文件後會修改文件後綴名為“.Tiger4444”,該變種依舊是利用RSA+AES加密的方式,用戶中招後無法對文件進行解密,赤豹安全實驗室提醒廣大用戶及時採取應對措施。

 

2 惡意代碼介紹

GlobeImposter勒索病毒家族是從2017年5月開始出現,並在2017年11月和2018年3月有兩次較大範圍的疫情爆發,江民防病毒軟件在第一時間更新收錄了該家族勒索病毒的特徵,並在幾次疫情爆發中有效阻止了病毒的勒索行為。在2017年11月前的GlobeImposter勒索病毒大部分被稱為GlobeImposter1.0,此時的病毒樣本加密後綴名以“.CHAK”較為常見,在2018年3月時出現了GlobeImposter2.0,此時的病毒樣本加密後綴名以“.TRUE”,“.doc”較為常見,GlobeImposter也增加了很多新型的技術進行免殺等操作,最近爆發的GlobeImposter被各大廠商稱為3.0版本,加密後綴名以“ .Tiger4444”,“Ox4444”較為常見,GlobeImposter3.0版本主要是根據之前版本的代碼簡單改進得來,通過與GlobeImposter1.0對比可以發現其代碼相似度高達86%,其核心代碼基本沒有變化,因此稱其為GlobeImposter2.0+可能更加合適。

本次加密文件的類型取消了之前的限制,會加密所有類型的文件

 

3 惡意代碼危害

GlobeImposter3.0的主要危害依舊是會對受害者就行加密文件的勒索行為,由於採用的是RSA+AES的加密算法,用戶在中招之後無法自行解密文件,最終造成文件數據的重大損失。

 

4 惡意代碼傳播方式

通過分析最新變種勒索軟件發現並未具備其他傳播途徑,因此其主要傳播方式還是垃圾郵件和RDP暴破植入。

 

5 惡意代碼分析

詳細分析報告獲取請聯繫Market@jiangmin.com

 

6 處理方案

已經中招的用戶暫時沒有辦法解密文件,可以將已加密的文件保管好等待後期互聯網上公開相關解密工具,不要寄希望於付費進行解密,大部分情況都是騙局。用戶應增強安全意識,完善安全防護體系,保持良好的上網習慣。江民赤豹網絡安全實驗室建議廣大用戶採取如下措施預防勒索軟件攻擊:

1. 不要輕易打開來歷不明的郵件和郵件附件;

2. 設置高強度遠程桌面登錄密碼並妥善保管;

3. 安裝防病毒軟件並保持良好的病毒庫升級習慣;

4. 對重要的文件還需要做好合理的備份;

5. 對內網安全域進行合理劃分,各個安全域之間限制嚴格的ACL,限制橫向移動;

6. 關閉不必要的共享權限以及端口,如:3389、445、135、139。

最後,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用江民病毒威脅預警+防病毒軟件,從終端到邊界構建完整防禦體系,全方位守護用戶內網安全。

 
 
 
CopyRight  © 江民科技 1996 - 2021 版權所有 All Rights Reserved
總代理:六合國際實業有限公司 E-mail: jiangmin@jiangmin.com.tw