首页 > 传媒 > 关键词 > 勒索病毒最新资讯 > 正文

瑞星提醒:勒索病毒GlobeImposter最新变种在国内大范围传播

2019-04-10 14:03 · 稿源:站长之家用户投稿

近日,勒索病毒GlobeImposter最新变种在国内大范围传播,包括很多医院在内的机构遭受了攻击。早在去年 10 月份,瑞星便发出GlobeImposter勒索病毒变种预警,呼吁用户及时做好防御措施。瑞星反病毒专家介绍,此次GlobeImposter的最新变种与之前版本并无很大区别,依旧是利用RSA+AES加密方式,用户中招后无法对文件进行解密。病毒在被加密文件夹内留下勒索文本,显示受害者的个人ID序列号以及病毒作者联系方式,要求受害者联系病毒作者,支付赎金后才可解密文件。

图:勒索页面

GlobeImposter是目前流行的一类勒索病毒,被加密文件会被追加上特殊后缀名,如:.China4444、.Help4444、.Rat4444、.Ox4444、.Tiger4444、.Rabbit4444、.Dragon4444、.Horse4444、.Goat4444、.Monkey4444、.Rooster4444、.Dog4444、.Pig4444 等,病毒的变种代码几乎完全一样,只是追加的后缀不同。

据瑞星反病毒专家称,GlobeImposter 勒索病毒主要是通过RDP远程桌面弱口令进行攻击,由于很多用户设置的密码过于简单,很容易被攻击者暴力破解,将勒索病毒植入机器中加密文件。此外,攻击者入侵一台机器后还会利用工具抓取本机密码,从而攻击局域网中的其它机器进行人工投毒。很多企业就是由于一台连接互联网的机器被攻击者远程控制,攻击者扫描了内网中的其它机器进行攻击,而造成内网多台机器中毒的。

GlobeImposter 勒索病毒使用了对称和非对称加密算法,在没有病毒作者RSA私钥的情况下,是无法解密被加密文件的。而目前网上那些宣称可以解密的,一种情况是用户付款后便联系不上的骗子,另外一种是充当病毒作者和受害者沟通的中介,通过和病毒作者讨价还价购买解密工具,再替受害者解密,但通常由于联系不上病毒作者导致文件无法解密。

瑞星安全研究院表示, 2019 年勒索病毒注定还将继续活跃,为了更好地应对勒索病毒,企业用户必须要从相关人员的安全意识和服务器的安全防护两方面同时加强防御。因此,瑞星公司为大家提供了以下防范方法与建议:

1、修改系统密码为复杂密码。

此病毒一般是通过弱口令攻击,因此局域网机器不要使用相同密码和过于简单的密码,尽量使用复杂密码。

2、如果不需要远程操作,可关闭远程桌面功能,关闭相应端口。

如果攻击者使用RDP远程桌面的弱口令攻击,关闭了远程桌面的功能和端口,任何人都无法远程登录,也就不会被攻击。

3、内外网隔离,防止局域网中的一台机器接入外网,导致整个局域网受到威胁。

对于此类病毒,如果是纯内网,攻击者是无法入侵的,受害者的网络必然存在缺口,导致攻击者入侵了一台连接互联网的机器,而这台机器又同时连接了内网,因此攻击者横向移动,将病毒植入到内网的其他机器中。

4、更新系统补丁和Web服务补丁,防止攻击者通过其它漏洞攻击。

此病毒是通过RDP弱口令传播,但是不排除以后的攻击者使用其它漏洞攻击,因此及时更新系统补丁和各种Web服务的补丁,提高系统安全,才能最大限度降低被攻击的风险。

5、安装杀毒软件,保持监控开启,及时升级病毒库。

中毒机器如果能事先保持监控开启,及时更新病毒库,就可免遭勒索攻击。瑞星旗下安全防护产品均可查杀此病毒及其变种。如果有两种情况导致被攻击,一种是由于弱口令导致攻击者远程控制了受害者机器,手动关闭了杀毒软件;另一种就是病毒库长期没有更新。

图:瑞星ESM查杀截图

6、安装瑞星之剑勒索防御软件

瑞星之剑是一款针对未知与已知勒索病毒的防御工具,可进一步阻止勒索病毒破坏文件。瑞星之剑利用了“智能诱饵”、“基于机器学习的文件格式判定规则”和“智能勒索代码行为监测”等技术,有效阻止勒索病毒对文件进行修改加密。

图:瑞星之剑拦截截图

技术分析

病毒运行后,解密硬编码的RSA公钥。

图:解密病毒作者的RSA公钥

解密后缀名和勒索文件名。

图:解密后缀名和勒索文件名

判断是否在%appdata%目录,如果不在则复制自身到%appdata%目录。

图:复制自身到%appdata%目录

添加启动项,伪装为浏览器更新,此处不是为了持久驻留,而是为了防止病毒没有运行,病毒运行之后会删除自身文件。

图:添加启动项

创建用户ID文件,将本机生成的RSA公钥和用户ID 写入到此文件。

文件名是作者RSA公钥的哈希,每台计算机运行都相同。文件内容中的本地RSA公钥和用户ID,每次运行不同。

格式如下图:

图:用户ID文件

调用加密函数开始加密,加密函数包含两个参数,分别是本机生成的RSA公钥、用户ID。本机生成的RSA公钥会加密随机生成的AES密钥(AES密钥用来加密具体文件的数据),病毒加密文件后会将用户ID和被加密的AES密钥追加到文件末尾。

图:传入用户ID和本地生成的RSA公钥,调用加密函数

加密函数中,首先枚举所有磁盘。

图:枚举本机所有磁盘

之后为每个磁盘创建一个线程,线程回调函数的参数中,传入要加密的磁盘盘符、用户ID、本地生成的RSA公钥,开始加密磁盘中的文件。

图:创建线程开始加密

进入线程回调函数后,首先遍历全盘的文件,排除指定的文件夹,排除指定的后缀,确定某个文件需要加密后,开始执行加密文件的函数。加密后在同目录释放勒索网页 HOW_TO_BACK_FILES.txt。

图:判断之后执行加密函数

不会加密以下文件夹中的文件,防止系统无法正常运行。

Windows, Microsoft, Microsoft Help, Windows App Certification Kit, Windows Defender, ESET, COMODO, Windows NT, Windows Kits, Windows Mail, Windows Media Player, Windows Multimedia Platform, Windows Phone Kits, Windows Phone Silverlight Kits, Windows Photo Viewer, Windows Portable Devices, Windows Sidebar, WindowsPowerShell, Temp, NVIDIA Corporation, Microsoft.NET, Internet Explorer, Kaspersky Lab, McAfee, Avira, spytech software, sysconfig, Avast, Dr.Web, Symantec, Symantec_Client_Security, system volume information, AVG, Microsoft Shared, Common Files, Outlook Express, Movie Maker, Chrome, Mozilla Firefox, Opera, YandexBrowser, ntldr, Wsus, ProgramData

表:不加密的文件夹

进入具体加密文件的函数之后,使用本地生成的rsa公钥将随机生成的AES key加密。

图:加密AES key

之后将加密后的AES key写入到文件,每个文件都不同,然后使用AES算法加密文件。

图:使用AES key加密文件

AES加密文件过程。

图:读取文件加密后写入

最后再将UserID 写入到文件,然后释放资源,将内存中的AES密钥清空。

图:用户ID写入文件,清空密钥

最后病毒会删除系统自带的还原、删除日志、删除病毒自身程序,使受害者不知道怎么中的毒,也找不到病毒样本,增加调查取证的难度。

解密字符串,释放运行bat 批处理脚本,脚本的功能是,删除系统自带的系统还原,删除RDP登录的日志,防止留下日志被追踪。

图:释放脚本,删除日志

病毒删除自身,将此线程设置为低优先级,从而使加密文件的线程结束后,再执行删除病毒自身的功能。但是由于系统环境线程竞争,有一定概率删除失败,从而留下病毒样本。一般情况下如果病毒若只在%appdata%目录中有一份,运行之后就会自删除,计算机被加密后,再使用杀毒软件查杀已经没有病毒了,因为此病毒的目的不是持久驻留,而是为了加密文件勒索,而留存病毒样本反而会使分析人员增加对此病毒的了解,因此病毒自删除是常规套路。

图:删除自身

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 遭遇勒索病毒后怎么办?

    12月7日云祺接到某集团反馈,其微信系统无法使用,登录到平台后发现其微信系统遭受勒索病毒入侵,存储数据、可执行程序等几乎所有类型的文件被加密,导致微信系统崩溃,无法正常运行。众所周知的是,勒索病毒入侵后,只能依靠支付巨额赎金获得密钥,才能找回被加密数据。该集团为云祺用户,已在全公司部署了云祺备份系统,配置了定期备份任务。云祺技术人员接到反馈后,发现该用户微信系统勒索病毒入侵时间为6日凌晨4点,于是立即?

  • 花小猪回应司机感染新冠病毒:当日已暂停该司机接单

    今日,针对“北京通报花小猪平台司机为无症状感染者”一事,花小猪官方回应称,目前李师傅身体状况良好,在地坛医院接受治疗,已经联系了李师傅,将及时关注其健康状况并给予李师傅和家人力所能及的帮助。

  • 随着新冠病毒再次抬头,针对医疗机构的攻击在全球范围内激增

    近一段时间,Check Point公司安全报告 中指出,医院和医疗机构已经成为越来越多勒索软件攻击的目标,其中大多数攻击都使用了臭名昭著的 Ryuk 勒索软件。在此之前,网络安全与基础设施安全局 (CISA)、联邦调查局 (FBI) 和美国卫生与公众服务部 (HHS) 发布了 联合网络安全公告 ,警告称医院和医疗服务提供商面临的网络威胁日益增加,形势十分严峻。不幸的是,近两个月来,这些网络犯罪威胁变得越来越猖獗。自11 月初起,全球针对医疗

  • Windows 10改进Chromium防病毒和深色模式

    借助Chromium更新,激活防病毒工具后,基于Chromium的Web浏览器– Microsoft Edge和Google Chrome –现在可以在Windows10上平稳运行。

  • 游族CEO被投毒原因曝光

    嫌疑人许某对游族CEO林奇投毒的原因,是对林奇的职位调整产生了不满,林奇顾及同事旧情并未立即裁员,而是先减薪让其另谋出路。“投毒”方式也并非陈年普洱,而是通过药物。此外,针对是否涉及信息披露违规一事,有律师表示,如果该高管身体状况稳定并持续好转确实如公告所言,就不存在涉嫌违规。

  • 英特尔旗下AI芯片公司被勒索软件窃取53GB数据

    美国当地时间周日,勒索软件Pay2Key公布了从哈巴纳实验室(Habana Labs)获得的内部文件细节。据悉,哈巴纳实验室是一家总部位于以色列的芯片初创企业,去年12月份,英特尔以约20亿美元收购了这家公司,以扩大人工智能产品组合,加强数据中心业务。

  • 上海警方调查游族CEO被投毒案件:嫌疑人已被拘留

    今日,游族网络公众号发布《关于CEO林奇近况的说明》称,游族网络董事长林奇于12月16日晚返家途中出现急性不适症状,随即自行赶赴医院,院方在治疗过程中第一时间与警方取得联系,目前治疗方案和原因调查双线都有明确进。据警方通报,本案嫌疑人许某,就职于某个人投资的影视公司。

  • 幼年丧父又不幸患尿毒症,水滴筹给孩子带来生的希望

    人生最痛苦的事,莫过于中年丧夫、幼年丧父,本以为走出失去至亲的阴霾后,生活会慢慢迎来阳光和希望,没想到十年后,生死考验再次降临到这对母子面前。小宁(化名)出生于河北省张家口市康保县的一个普通的农村家庭,11年前父亲突然离世,给整个家庭带来了沉痛的打击。父亲去世后,他的母亲潘女士没日没夜的工作,抚养他长大,虽然日子很清苦,可是他们依然很坚强的活着。谁曾想,父亲去世没几年噩运就再次悄悄地找上了他们。儿子

  • 警方通报游族CEO疑似中毒;辛选回应燕窝事件处罚;微信推出微信豆

    昨日早些时候,有媒体报道称,游族网络疑似发生内斗,其CEO林奇已因中毒被送进ICU。随后,游族网络方面回应称,谣言,已安排律师函,公司目前管理一切正常。游族网络董事长林奇于12月16日晚返家途中出现急性不适症状,随即自行赶赴医院,院方在治疗过程中第一时间与警方取得联系,目前治疗方案和原因调查双线都有明确进。

  • 轻扣未来病毒门扉 纪录片《未来图鉴》首登优酷,引人深思

    在人类文明史中,病毒一直以敌人的身份登场。如今,在科技高度发达的现代社会中,人类对付病毒的办法依旧寥寥可数。病毒这种结构简单的生物,靠着不断演化、变异,快速地适应着这个世界。未来,人类究竟有没有可能完全战胜病毒?在优酷人文与现代汽车集团联合出品的《未来图鉴》首集中,传染病专家、上海市公共卫生临床中心党委书记卢洪洲医生放眼未来,从专业角度解答未来世界中的病毒迷思。 病毒的前世今生 以及未来 自人类诞生

  • 你还在用84消毒剂喷电脑吗?京东电脑数码手把手教你正确办公防护

    想要做好全方位的自我防护,除了日常佩戴口罩、勤洗手消毒等,我们还需要做什么?对广大上班族来说,不仅要在通勤途中注意防护,做好办公环境的消毒清洁绝对也是一项重要工作。于是京东电脑数码特意为大家准备了一份“冬日办公防护指南”, 手把手教你如何对办公环境和工具进行正确消毒,一起来学习吧。当我们到达办公场所后,首先要做的当然是洗手消毒。而当我们坐在办公桌前时,常用的桌面、电脑、鼠标和键盘就成了我们接触最频繁

  • 2020 年 11 月头号恶意软件:臭名昭著的 Phorpiex 僵尸网络再度成为影响范围最大的感染病毒

    Check Point Research 报告指出,使用 Phorpiex 僵尸网络在恶意垃圾邮件攻击活动中传播 Avaddon 勒索软件的攻击利用率激增 2020 年12 月 全球领先网络安全解决方案提供商 Check Point? 软件技术有限公司 (纳斯达克股票代码:CHKP)的威胁情报部门 Check Point Research 发布了2020 年11 月最新版《全球威胁指数》报告 。该报告显示,臭名昭著的 Phorpiex 僵尸网络的感染率激增,成为本月最猖獗的恶意软件,影响了全球4% 的组织。

  • 黑客捐赠勒索来的比特币:慈善机构犯难却无法退款

    据英国卫报报道,黑客组织Darkside把勒索获得的0.88比特币捐给了Children International和Water Project两家慈善机构,价值1万美元。捐款后,Darkside在暗网公布了得到捐款的这两家慈善机构的收据。

  • 毒App独家首发LosBaker潮牌新品,演员李菲儿倾情助阵

    随着越来越多年轻人对运动和潮流文化的喜爱,新一代潮流网购社区毒App应运而生。作为年轻人首选的潮流圣地,毒App在追求时尚、彰显个性的年轻人中有着巨大影响力。在这里,年轻一代可以就同好文化进行分享和交流,还可以与潮流达人进行线上互动,学习潮人的穿搭技巧。毒App不仅有素人,也吸引了明星群体,比如药水哥、张艺兴、陈伟霆等。11月8日,毒App再迎女演员李菲儿与独立品牌LosBaker正式入驻。LosBaker首次亮相 传递潮流生活态度女演

  • 10 月头号恶意软件:Trickbot 和 Emotet 木马导致勒索软件攻击激增

    Check Point Research 报告指出,Trickbot和Emotet在全球威胁指数榜单中位居前列,主要用于在全球医院和医疗提供商中传播勒索软件。2020 年11 月,全球领先网络安全解决方案提供商Check Point? 软件技术有限公司(纳斯达克股票代码:CHKP)的威胁情报部门Check Point Research 发布了2020 年10 月最新版《全球威胁指数》报告。研究人员报告称,Trickbot和Emotet木马在10 月份仍然是最猖獗的两大恶意软件,是全球各地医院和医疗服务

  • 富士康回应墨西哥工厂计算机系统遭勒索软件攻击:已恢复正常

    苹果供应商富士康周二表示,在遭到软件攻击后,其位于美洲工厂的计算机系统已逐渐恢复正常。富士康在一份声明中表示,其受影响的工厂已经完成了信息安全级别的升级。该公司还补充称,勒索软件的攻击对其运营影响有限。

  • 特斯拉CEO马斯克:将再次进行新冠病毒检测 预计周日出结果

    今日,特斯拉CEO埃隆·马斯克表示,将再次进行新冠病毒检测,预计周日出结果。本周五,特斯拉CEO马斯克发布推特称,自己在同样的情况下做了四次新冠检测,其中两次为阳性,两次为阴性。

  • 马斯克吐槽新冠病毒检测不靠谱:四次测试 结果"两阴两阳"

    特斯拉公司CEO埃隆·马斯克称,他已经接受了四次新冠病毒核酸检测,其中两次呈阳性。马斯克吐槽称,一些极其虚假的事情正在发生。在四次对新冠病毒核酸检测中,两次检查结果是阴性,两次是阳性。同样的机器,同样的测试,同样的护士,却有着不同的结果。

  • 谷歌发布2020年全球热搜榜 ,新冠病毒毫无意外位列第一

    今天全球第一大搜索引擎谷歌发布了2020年全球热搜榜,新冠病毒一次毫无意外的成为了最热门的搜索词汇,另外前10热门中有三个是与新冠相关的词汇,分别是“冠状病毒疫情更新”和“冠状病毒症状”。

  • 勒索病毒再生“大案” 知名游戏公司卡普空被要挟1100万美元

    近日,有外媒报道,《生化危机》、《街头霸王》、《怪物猎人》等知名游戏的母公司卡普空(Capcom)遭遇勒索软件攻击,被迫停止了部分运营。据悉,Ragnar Locker 勒索软件团队声称对此负责,该组织还向卡普空索要了高达1100万美元的赎金,要求以比特币的形式支付。事实上,这并不是Ragnar Locker第一次作案,今年5月份,Ragnar Locker勒索软件运营商就向可再生能源公司EDP索要了千万欧元的赎金。据报道,该勒索软件也参与了针对联合

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签