【病毒预警】GlobeImposter勒索病毒变种预警

2018-08-27 00:00:00 0

     近日,亚信安全网络监测实验室监测到大量GlobeImposter勒索病毒变种在我国传播,并呈现爆发的趋势。早在今年2月该勒索病毒曾对国内多数企事业单位发动过攻击,时隔半年,该病毒变种后再次爆发。此次勒索病毒变种繁多,因此被加密后的文件扩展名也各不相同,其包括.ALCO、ALC02、ALC03和RESERVE等。本次截获的GlobeImposter勒索病毒变种主要攻击开启远程桌面服务的服务器,通过RDP弱口令暴力破解方式进行传播,亚信安全已经可以检测该勒索病毒,并将其命名为Ransom_FAKEGLOBE.SMB。

病毒技术细节分析 
Ransom_FAKEGLOBE.SMB病毒行为分析:
该病毒在被感染系统中生成如下自身拷贝文件:

  • %AppDataLocal%\{MalwareName}.exe


在系统目录中生成如下文件:

  • %SystemRoot%\Users\Public\B26A340109A0081ADF57D63647533B8681DC0B8E159BE052385ED4024E9CFFBC


为达到自启动目的,该病毒添加如下注册表键值:
     HKEY_CURRENT_USER\Software\Microsoft\
     Windows\CurrentVersion\RunOnce
     BrowserUpdateCheck = %Application Data%\{Malware name}.exe

被加密后的文件扩展名为:

  • ALCO

其会在加密文件路径下,生成如下勒索提示信息文件:

  • how_to_back_files.html

生成的勒索提示文件,主要包括受害者个人的ID序列号和勒索者的联系方式:

解决方案
由于Globelmposter变种采用RSA2048算法加密,目前该勒索病毒加密的文件无法解密,亚信安全再次提醒用户警惕该病毒,做好预防工作。
1、不要点击来源不明的邮件以及附件;
2、及时升级系统,打全系统补丁;
3、尽量关闭不必要的文件共享权限和不必要的端口;
4、请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,
     并将副本放在异地存储。

亚信安全解决方案:
1、亚信安全病毒码版本14.455.60 ,云病毒码版本14.455.71,全球码版本14.455.00已经可以检测,请用
     户及时升级病毒码版本;
2、使用防毒墙网络版(OfficeScan)开启针对勒索软件(Ransomware)的行为阻止策略,可以有效拦截勒
     索病毒对系统中
的文件进行加密,设置如下图:


总结
       勒索病毒不可能在短期内消失,网络犯罪分子采取的战术策略也在演变,其攻击方式更加多样化。对于勒索病毒的变种,我们建议用户可以通过部署防火墙、邮件网关等产品作为第一道防线。行为监控和漏洞防护产品则可以有效阻止威胁到达客户端