信安客
互联网安全领域的十万个为什么
近日,网络监测到大量GlobImpostr勒索病毒变种在我国传播,并呈现爆发的趋势。早在今年2月该勒索病毒曾对国内多数企事业单位发动过攻击,时隔半年,该病毒变种再次爆发。此次变种繁多,因此被加密后的文件扩展名也各不相同,其包括.ALCO、ALC02、ALC03和RESERVE等。本次截获的GlobImpostr勒索病毒变种主要攻击开启远程桌面服务的服务器,通过RDP弱口令暴力破解方式进行传播,已经可以检测该勒索病毒,并将其命名为Ransom_FAKEGLOBE.SMB。
亚信安全详解:Ransom_FAKEGLOBE.SMB病毒技术细节
该病毒在被感染系统中生成如下自身拷贝文件:
%AppDataLocal%\{MalwarNam}.x
在系统目录中生成如下文件:
%SystmRoot%\Usrs\Public\B26AAADF57DBDC0B8EBEEDE9CFFBC
为达到自启动目的,该病毒添加如下注册表键值:
HKEY_CURRENT_USER\Softwar\Microsoft\Windows\CurrntVrsion\RunOncBrowsrUpdatChck=%ApplicationData%\{Malwarnam}.x
被加密后的文件扩展名为:
ALCO
其会在加密文件路径下,生成如下勒索提示信息文件:
how_to_back_fils.html
生成的勒索提示文件,主要包括受害者个人的ID序列号和勒索者的联系方式:
教你如何防范
由于Globlmpostr变种采用RSA算法加密,目前该勒索病毒加密的文件无法解密,再次提醒警惕该病毒,做好预防工作。
不要点击来源不明的邮件以及附件;
及时升级系统,打全系统补丁;
尽量关闭不必要的文件共享权限和不必要的端口;
请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
总结:勒索病毒不可能在短期内消失,网络犯罪分子采取的战术策略也在演变,其攻击方式更加多样化。对于勒索病毒的变种,建议可以通过部署防火墙、邮件网关等产品作为第一道防线。
加入群聊
信安客技术交流群免费共享安全行业最新动态、技术交流、等保相关标准、行业标准及建设方案等,信安客有北京中科白癜风出席健康中国公益盛典北京治疗白癜风费是多少钱
转载请注明:http://www.wangguoqiangq.com/sglbwh/2923.html
