最新病毒庫日期:
              • GlobeImposter3.0預警:已瞄準多家大型醫療機構
              2018-09-02 15:12 來源:未知
              【文章摘要】1 威脅概述 近期,江民赤豹安全實驗室發現GlobeImposter勒索病毒的3.0變種,在國內醫療行業爆發較為集中。通過分析發現該勒索家族加密的后綴名也隨著變種的不同在進行變化,已經出現

              1     威脅概述

              近期,江民赤豹安全實驗室發現GlobeImposter勒索病毒的3.0變種,在國內醫療行業爆發較為集中。通過分析發現該勒索家族加密的后綴名也隨著變種的不同在進行變化,已經出現的變種加密后的后綴名有:.CHAK、.crypted!、.doc、.dream、.TRUE、..726、.Alcohol、.FREEMAN、.ALC0、.ALC02等,本次截獲的最新樣本會加密所有類型的文件,加密后會修改文件后綴名為“.Tiger4444”,該變種依舊是利用RSA+AES加密的方式,用戶中招后無法對文件進行解密,赤豹安全實驗室提醒廣大用戶及時采取應對措施。

              2     惡意代碼介紹

               GlobeImposter勒索病毒家族是從2017年5月開始出現,并在2017年11月和2018年3月有兩次較大范圍的疫情爆發,江民防病毒軟件在第一時間更新收錄了該家族勒索病毒的特征,并在幾次疫情爆發中有效阻止了病毒的勒索行為。在2017年11月前的GlobeImposter勒索病毒大部分被稱為GlobeImposter1.0,此時的病毒樣本加密后綴名以“.CHAK”較為常見,在2018年3月時出現了GlobeImposter2.0,此時的病毒樣本加密后綴名以“.TRUE”,“.doc”較為常見,GlobeImposter也增加了很多新型的技術進行免殺等操作,最近爆發的GlobeImposter被各大廠商稱為3.0版本,加密后綴名以“.Tiger4444”,“Ox4444”較為常見,GlobeImposter3.0版本主要是根據之前版本的代碼簡單改進得來,通過與GlobeImposter1.0對比可以發現其代碼相似度高達86%,其核心代碼基本沒有變化,因此稱其為GlobeImposter2.0+可能更加合適。

              3     惡意代碼危害

              GlobeImposter3.0的主要危害依舊是會對受害者就行加密文件的勒索行為,由于采用的是RSA+AES的加密算法,用戶在中招之后無法自行解密文件,最終造成文件數據的重大損失。

              4     惡意代碼傳播方式

              通過分析最新變種勒索軟件發現并未具備其他傳播途徑,因此其主要傳播方式還是垃圾郵件和RDP暴破植入。

              5     惡意代碼分析

              詳細分析報告獲取請聯系[email protected]

              6     處理方案

              已經中招的用戶暫時沒有辦法解密文件,可以將已加密的文件保管好等待互聯網上安全人員公開相關解密工具,不要寄希望于付費進行解密,大部分情況都是騙局。用戶應增強安全意識,完善安全防護體系,保持良好的上網習慣。江民赤豹網絡安全實驗室建議廣大用戶采取如下措施應對勒索軟件攻擊:
              1. 不要輕易打開來歷不明的郵件和郵件附件;
              2. 設置高強度遠程桌面登錄密碼并妥善保管;
              3. 安裝防病毒軟件并保持良好的病毒庫升級習慣;
              4. 對重要的文件還需要做好合理的備份;
              5. 對內網安全域進行合理劃分,各個安全域之間限制嚴格的ACL,限制橫向移動;
              6. 關閉不必要的共享權限以及端口,如:3389、445、135、139。
              最后,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用江民病毒威脅預警+防病毒軟件,從終端到邊界構建完整防御體系,全方位守護用戶內網安全。
              全民彩票手机版