重庆电信职业学院欢迎您

> 校园安全

GlobeImposter3.0变种勒索病毒

作者:   点击:次   发布时间:2019-03-12 16:40

一、情况分析

 GlobeImposter2.0勒索病毒变种在2018年8月份再次发现,攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化,有:

.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE,.ALC0、.ALC02、.ALC03、.RESERVE等。

 Globelmposter3.0变种,其加密文件使用*4444扩展名,由于Globelmposter3.0采用RSA+AES算法加密,目前该勒索病毒加密的文件暂无解密工具,文件被加密后会被加上*4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES.txt”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。

二、病毒特点

GlobeImposter3.0勒索家族习惯以垃圾邮件方式和扫描渗透的方式进行传播,但近期勒索病毒的攻击过程极可能为Windows远程桌面服务密码被暴 力破解后植入勒索病毒。

该勒索病毒常用RSA+AES加密方式,其中AES密钥的生成方式并不是通过传统的随机函数等生成,而是通过CoCreateGuid函数生成全局唯一标识符,并将该标识符做为AES加密算法的secret key。

自动删除远程桌面连接信息及事件日志。

三、处置建议

    1. 不要点击来源不明的邮件以及附件;

    2. 及时升级系统、及时安装系统补丁;

    3. 对重要服务器和主机进行软件加固;

    4. 关闭不必要的共享权限以及端口;

    5. 对重要文件进行实时备份;

    6. 采用高强度密码,避免使用弱密码,并定期更换 密码。