最新病毒库日期:
              • GlobeImposter3.0预警:已瞄准多家大型医疗机构
              2018-09-02 15:12 来源:未知
              【文章摘要】1 威胁概述 近期,江民赤豹安全实验室发现GlobeImposter勒索病毒的3.0变种,在国内医疗行业爆发较为集中。通过分析发现该勒索家族?#29992;?#30340;后缀名也随着变种的不同在进行变化,已经出现

              1     威胁概述

              近期,江民赤豹安全实验室发现GlobeImposter勒索病毒的3.0变种,在国内医疗行业爆发较为集中。通过分析发现该勒索家族?#29992;?#30340;后缀名也随着变种的不同在进行变化,已经出现的变种?#29992;?#21518;的后缀名有:.CHAK、.crypted!、.doc、.dream、.TRUE、..726、.Alcohol、.FREEMAN、.ALC0、.ALC02等,本次截获的最新样本会?#29992;?#25152;有类型的文件,?#29992;?#21518;会修改文件后缀名为“.Tiger4444”,该变种依旧是利用RSA+AES?#29992;?#30340;方式,用户中招后无法对文件进行解密,赤豹安全实验室提醒广大用户及时采取应?#28304;?#26045;。

              2     恶意代码介绍

               GlobeImposter勒索病毒家族是从2017年5月开始出现,并在2017年11月和2018年3月有两次较大范围的疫情爆发,江民防病毒软件在第一时间更新?#31456;?#20102;该家族勒索病毒的特征,并在几?#25105;?#24773;爆发中有效阻止了病毒的勒索行为。在2017年11月前的GlobeImposter勒索病毒大部分被称为GlobeImposter1.0,此时的病毒样本?#29992;?#21518;缀名以“.CHAK”较为常见,在2018年3月时出现了GlobeImposter2.0,此时的病毒样本?#29992;?#21518;缀名以“.TRUE”,“.doc”较为常见,GlobeImposter也增加了很多新型的技术进行免杀等操作,最近爆发的GlobeImposter被各大厂商称为3.0版本,?#29992;?#21518;缀名以“.Tiger4444”,“Ox4444”较为常见,GlobeImposter3.0版本主要是根据之前版本的代码简单改进得来,通过与GlobeImposter1.0?#21592;?#21487;以发?#21046;?#20195;码相似度高达86%,其核心代码基本没有变化,因此称其为GlobeImposter2.0+可能更加合适。

              3     恶意代码危害

              GlobeImposter3.0的主要危害依旧是会对受害者就行?#29992;?#25991;件的勒索行为,由于采用的是RSA+AES的?#29992;?#31639;法,用户在中招之后无法自行解密文件,最终造成文件数据的重大损失。

              4     恶意代码传播方式

              通过分析最新变种勒索软件发现并未具备其他传播途径,因此其主要传播方式还是垃圾邮件和RDP暴破植入。

              5     恶意代码分析

              详细分析报告获取请联系[email protected]

              6     处理方案

              已经中招的用户暂时没有办法解密文件,可以将已?#29992;?#30340;文件保管好等待互联网上安全人员公开相关解密工具,不要寄希望于付费进行解密,大部?#26234;?#20917;都是骗局。用户应增强安全意识,完善安全防护体系,保持良好的上网习惯。江民赤豹网络安全实验?#21307;?#35758;广大用户采取如下措施应对勒索软件攻击:
              1. 不要轻易打开来历不明的邮件和邮件附件;
              2. 设置高强度远程桌面登录密码并妥善保管;
              3. 安装防病毒软件并保持良好的病毒库升级习惯;
              4. 对重要的文件还需要做好合理的备份;
              5. 对内网安全域进行合理划分,各个安全域之间限制?#32454;?#30340;ACL,限制横向移动;
              6. 关闭不必要的共享权限以及端口,如:3389、445、135、139。
              最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用江民病毒威胁预警+防病毒软件,从终端到边界构建完整防御体系,全方位守护用户内网安全。
              全民彩票手机版