GlobeImposter5.0新型勒索病毒來襲,想了解的看這裏!
“
近日,勒索病毒GlobeImposter家族最新變種正在國內傳播,受影響的系統,數據庫文件被加密破壞,病毒將加密後的文件重命名為.TRUE擴展名,並通過郵件來告知受害者付款方式。由於Globelmposter采用RSA2048算法加密,目前該勒索樣本加密的文件無解密工具。
此次爆發的GlobeImposter家族的變種,主要以國內公共機構服務器為主要***對象,目前已有醫療機構因該病毒出現系統癱瘓,對業務連續性造成嚴重影響。
”
病毒分析
Globelmposter家族首次出現在2017年5月,主要傳播方式是通過向特定的用戶發送垃圾郵件進行傳播。此次發現的Globelmposter家族最新變種,通過RSA算法進行加密,先通過CryptGenRandom隨機生成一組密鑰對,然後使用樣本中的硬編碼生成相應的私鑰,最後生成受害用戶的個人ID序列號,加密相應的文件夾目錄和擴展名,並將生成的個人ID序列號寫入到加密文件末尾,相應的加密文件夾目錄
同時樣本還會進行自我拷貝操作,將自身拷貝到%APPDATA%
病毒影響
用戶感染相應的Globelmposter變種之後,樣本會加密相應的文件夾下的文件,並生成how_to_back_file.html的超文本文件,如圖所示:
生成的超文件文件,顯示了個人的ID序列號,以及惡意軟件作者的聯系方式:
值得註意的是,用戶一旦出現Globelmposter變種感染,***會以工具輔助手工的方式,對內網其他機器進行***,在內網擴散。
解決方案**復旦解密是國內專業的針對勒索病毒的解密公司,如果有朋友中招可以聯系qq 347 74 565 79
病毒防禦
1、不要點擊來源不明的郵件以及附件;
2、及時給電腦打補丁,修復漏洞;
3、對重要的數據文件定期進行非本地備份;
4、安裝專業的終端/服務器安全防護軟件;
5、Globelmposter勒索軟件之前的變種會利用RDP(遠程桌面協議),因此建議用戶關閉相應的RDP(遠程桌面協議);
6、盡量關閉不必要的文件共享權限以及關閉不必要的端口,如:445,135,139,3389等;
把客戶的需求當做自己義不容辭的責任,是復旦解密公司一直的追求!
GlobeImposter5.0新型勒索病毒來襲,想了解的看這裏!