最新病毒库日期:
  • GlobeImposter3.0预警:已瞄准多家大型医疗机构
2018-09-02 15:12 来源:未知
【文章摘要】1 威胁概述 近期,江民赤豹安全实验室发现GlobeImposter勒索病毒的3.0变种,在国内医疗行业爆发较为集中。通过分析发现该勒索家族加密的后缀名也随着变种的不同在进行变化,已经出现

1     威胁概述

近期,江民赤豹安全实验室发现GlobeImposter勒索病毒的3.0变种,在国内医疗行业爆发较为集中。通过分析发现该勒索家族加密的后缀名也随着变种的不同在进行变化,已经出现的变种加密后的后缀名有:.CHAK、.crypted!、.doc、.dream、.TRUE、..726、.Alcohol、.FREEMAN、.ALC0、.ALC02等,本次截获的最新样本会加密所有类型的文件,加密后会修改文件后缀名为“.Tiger4444”,该变种依旧是利用RSA+AES加密的方式,用户中招后无法对文件进行解密,赤豹安全实验室提醒广大用户及时采取应对措施。

2     恶意代码介绍

 GlobeImposter勒索病毒家族是从2017年5月开始出现,并在2017年11月和2018年3月有两次较大范围的疫情爆发,江民防病毒软件在第一时间更新收录了该家族勒索病毒的特征,并在几次疫情爆发中有效阻止了病毒的勒索行为。在2017年11月前的GlobeImposter勒索病毒大部分被称为GlobeImposter1.0,此时的病毒样本加密后缀名以“.CHAK”较为常见,在2018年3月时出现了GlobeImposter2.0,此时的病毒样本加密后缀名以“.TRUE”,“.doc”较为常见,GlobeImposter也增加了很多新型的技术进行免杀等操作,最近爆发的GlobeImposter被各大厂商称为3.0版本,加密后缀名以“.Tiger4444”,“Ox4444”较为常见,GlobeImposter3.0版本主要是根据之前版本的代码简单改进得来,通过与GlobeImposter1.0对比可以发现其代码相似度高达86%,其核心代码基本没有变化,因此称其为GlobeImposter2.0+可能更加合适。

3     恶意代码危害

GlobeImposter3.0的主要危害依旧是会对受害者就行加密文件的勒索行为,由于采用的是RSA+AES的加密算法,用户在中招之后无法自行解密文件,最终造成文件数据的重大损失。

4     恶意代码传播方式

通过分析最新变种勒索软件发现并未具备其他传播途径,因此其主要传播方式还是垃圾邮件和RDP暴破植入。

5     恶意代码分析

详细分析报告获取请联系Market@jiangmin.com

6     处理方案

已经中招的用户暂时没有办法解密文件,可以将已加密的文件保管好等待互联网上安全人员公开相关解密工具,不要寄希望于付费进行解密,大部分情况都是骗局。用户应增强安全意识,完善安全防护体系,保持良好的上网习惯。江民赤豹网络安全实验室建议广大用户采取如下措施应对勒索软件攻击:
1. 不要轻易打开来历不明的邮件和邮件附件;
2. 设置高强度远程桌面登录密码并妥善保管;
3. 安装防病毒软件并保持良好的病毒库升级习惯;
4. 对重要的文件还需要做好合理的备份;
5. 对内网安全域进行合理划分,各个安全域之间限制严格的ACL,限制横向移动;
6. 关闭不必要的共享权限以及端口,如:3389、445、135、139。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用江民病毒威胁预警+防病毒软件,从终端到边界构建完整防御体系,全方位守护用户内网安全。