大工网安告[2019]008号
一、情况分析
GlobeImposter2.0勒索病毒变种在2018年8月份再次发现,攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化,有:
.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE,.ALC0、.ALC02、.ALC03、.RESERVE等。
Globelmposter3.0变种,其加密文件使用*4444扩展名,由于Globelmposter3.0采用RSA+AES算法加密,目前该勒索病毒加密的文件暂无解密工具,文件被加密后会被加上*4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES.txt”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。
二、病毒特点
GlobeImposter3.0勒索家族习惯以垃圾邮件方式和扫描渗透的方式进行传播,但近期勒索病毒的攻击过程极可能为Windows远程桌面服务密码被暴 力破解后植入勒索病毒。
该勒索病毒常用RSA+AES加密方式,其中AES密钥的生成方式并不是通过传统的随机函数等生成,而是通过CoCreateGuid函数生成全局唯一标识符,并将该标识符做为AES加密算法的secret key。
自动删除远程桌面连接信息及事件日志。
三、处置建议
不要点击来源不明的邮件以及附件;
及时升级系统、及时安装系统补丁;
对重要服务器和主机进行软件加固;
关闭不必要的共享权限以及端口;
对重要文件进行实时备份;
采用高强度密码,避免使用弱密码,并定期更换 密码。
