行业新闻

近日，山石网科互联网应急响应团队发现Globelmposter勒索病毒3.0变种再次席卷全国各地医院，受影响的系统，数据库文件被加密破坏，病毒将加密后的文件后缀改以*4444结尾，并要求用户通过邮件沟通赎金跟解密密钥等。目前GlobeImposter 3.0已在多个省份形成规模爆发趋势。
病毒说明
3.0勒索病毒攻击，攻击手法极其丰富，可以通过社会工程，RDP爆破，恶意程序捆绑等方式进行传播，其加密的后缀名以*4444结尾，文件被加密后会被加上以下后缀：

Ox4444、

China4444、

Help4444、

Rat4444 、

Tiger4444 、

Rabbit4444 、

Dragon4444 、

Snake4444 、

Horse4444、

Goat4444 、

Monkey4444 、

Rooster4444、

Dog4444。

病毒特征
勒索通知信息文件为：how_to_back_files.html
由于Globelmposter 3.0采用RSA2048算法加密，目前该勒索样本加密的文件暂无解密工具，文件被加密后会被加上*4444系列后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件，显示受害者的个人ID序列号以及黑客的联系方式等。

山石网科病毒分析
1、开机自启动
病毒本体为一个win32.exe程序，病毒运行后会将病毒本体复制到%LOCALAPPDATA%或%APPDATA%目录，删除原文件并设置自启动项实现开机自启动。
2、加密勒索
加密对象：可移动磁盘，固定磁盘，网络磁盘三种类型的磁盘。
3、加密方式
样本通过RSA算法进行加密，先通过CryptGenRandom随机生成一组128位密钥对，然后使用样本中的硬编码的256位公钥生成相应的私钥，最后生成受害用户的个人ID序列号。然后加密相应的文件夹目录和扩展名，并将生成的个人ID序列号写入到加密文件末尾。
4、隐藏行为
通过该病毒中的Bat脚本文件能够删除：1、磁盘卷影 2、远程桌面连接信息 3、日志信息，从而达到潜伏隐藏的目的。
山石网科解决方案
山石智·感-智能内网威胁感知系统，可以不依赖升级病毒特征库，及时发现GlobeImposter病毒的攻击行为，以及其他病毒类似的攻击行为。
利用威胁诱捕检测技术发现威胁源，并联动山石网科下一代防火墙进行主动式防御。
利用异常行为分析检测技术，发现失陷主机在内部网络的扩散行为。
利用高级威胁检测技术，应对社会工程和恶意程序捆绑等攻击方式。
病毒防护
近期已有大量用户中招Globelmposter病毒，包括2.0和3.0变种。 针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。
1.隔离感染主机
当发现某台主机感染Globelmposter3.0勒索病毒后，迅速隔离中毒主机，关闭所有网络连接，禁用网卡，可直接拔网线断网。
2.检查运行进程
由于病毒程序会加载到内存空间中运行，所以应先查看相关不明进程并结束相关病毒进程。
3.切断传播途径
Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议），如果业务上无需使用RDP的，建议关闭RDP。
在专网级联边界位置通过防火墙等设备建立访问控制策略，封堵入站的3389、445等端口，防止其他单位的横向、纵向攻击。
科预防措施
更改默认administrator管理账户，禁用445等高危端口；
外网主机不应具备访问及修改内网主机数据的 权限；
定期对重要文件进行异地备份，云服务要做好快照；
及时给电脑打补丁，修复漏洞；
如果要使用SMB服务器尽量设置较为复杂的密码，建议密码设置为字符串+特殊字符+数字，并且不要对公网开放，建议使用vpn