医院感染勒索病毒情况的通报

近日，朋友圈被GlobeImposterV3.0的文章刷屏了，各厂商也都讲自己的软件可以查杀。那么为什么还会被感染和加密呢？因为这次攻击并不是因为杀毒软件的问题。

我们从1月底开始也陆续遇到好几起该病毒的感染报告，经过我们技术人员的现场取证分析，了解了完整的攻击过程，现将攻击过程还原。希望大家能了解攻击过程，有利于布置合理的防范手段。

未知攻，焉能防。

一、病毒介绍

自1月底开始，医院和单位被勒索病毒感染，经过我们技术人员去现场取证分析，证实为GlobeImposterV3.0的变种，相较之前版本，该版本对RSA公钥和加密文件后缀采用了加密处理，且将加密文件的后缀改成.动物名称+的样子，如：.Horse，.tiger等，还会将中招用户的ID信息保存在C:\Users\public\路径下，文件名是其对应RSA公钥的SHA的值。当加密完成后，清除远程桌面登录信息，并自我删除。

该类敲诈者病毒主要的传播方式是扫描渗透配合远程桌面登录爆破的方式进行传播，如果重要文件被加密了，根本没办法解密。攻击者在进入内网后，利用黑客工具进行内网渗透并选择高价值目标服务器进行人工投放勒索病毒。

目前，大部分杀毒软件均可以正常查杀该病毒。

二、病毒情况描述

中毒之后，会发现类似于下图的症状：

同时会在桌面和每个被感染过的文件夹下生成一个HOW_TO_BACK_FILES.txt文件，类似以下内容：

最终该病毒将引导受害者通过邮件与勒索者进行联系，要求受害者将被加密的图片或文档发送到指定的邮箱进行付费解密。

三、风险等级

风险等级：高危，黑客首先会入侵企业内网，之后再通过暴力破解RDP和SMB服务在内网继续扩散。除个别文件夹外，都被加密，除非得到密钥，受损文件无法解密还原。

四、攻击方式

经过技术人员分析，大部分杀毒软件均可以正常查杀该病毒，但之所以造成这么大的危害，更主要的原因并不是杀毒软件，而是一系列的入侵过程，通过对几个被感染用户的分析，发现攻击过程如下：

1、　　黑客采用弱口令或钓鱼等方式攻破一台外网电脑（工作站或服务器）。

2、　　在该电脑上上传相应的黑客工具。

3、　　利用局域网扫描工具，扫描活动的主机，然后通过端口扫描工具扫描哪些机器开放端口。

4、　　利用mimikatz.exe扫描本机的所有账户机器密码。如果被攻破的机器为域管理员机器，那么整个域中的所有机器将沦陷。

5、　　将本机破解出来的密码加入密码字典，再利用远程登录桌面爆破工具如NLBrute.exe依次爆破局域网开放端口的机器。

6、　　重复以上步骤，从而选择高价值目标服务器。

7、　　如果没有杀毒软件，直接投放勒索病毒，如果有杀毒软件，使用各种手段退出杀毒软件。然后人工投放勒索病毒，在注册表加载病毒自动运行。

8、　　清除日志和系统卷影。

附图：

1、尝试登录破解密码：

2、在客户端发现的黑客上传的工具：

3、使用mimikatz扫描破管理员密码，并将之添加到密码字典：

破解的用户口令，以及加入用户密码后的密码字典（局部）

4、使用端口扫描工具，发现开放端口的主机及扫描结果：

5、使用RDP口令爆破工具进行口令爆破以及爆破后的结果（经用户同意密码和IP地址已做技术处理）。

6、植入病毒，加密成功。

7、执行脚本清除痕迹和系统卷影副本：

五、安全建议

内外网隔离，最近发现的几例都是内外网混用，黑客攻破一台连接外网的电脑，以其为跳板对内网进行扫描和口令爆破，进而攻入服务器的。无法完全隔离的要增加防火墙，并设置安全访问策略，不仅要限制来自互联网的访问，也要限制内部电脑对服务器的访问。

关闭不必要的端口，尤其是，如果确实需要开启远程桌面，建议修改默认的端口，或者通过防火墙设置只允许指定的IP访问。防火墙设置请咨询设备厂商，或参考《防黑必备技能之端口篇（3）》

全网安装专业的反病毒软件，并做到及时更新。为防止黑客关闭杀毒软件，一定要设置防病毒软件的退出密码，且不能和系统登录密码一样。建议开启防病毒的主动防御和自我保护功能。

部署流量监控/阻断类设备/软件，并开启防火墙、IPS、杀毒软件等网络安全设备的日志记录，便于事前发现，事中阻断和事后回溯。管理员要定时查看日志，及时对日志有风险的操作进行处理。

及时更新系统补丁，对于其他原因不能及时安装补丁的系统，考虑在网络边界、路由器、防火墙上设置严格的访问控制策略，以保证网络的动态安全。

建议对于存在弱口令的系统，需在加强使用者安全意识的前提下，督促其修改密码，或者使用策略来强制限制密码长度和复杂性。而且避免所有的服务器采用同样的密码。详见《这一步做好，能减少一半被勒索的机会》

在一些关键服务上（如数据库服务），应加强口令强度，同时需使用加密传输方式，对于一些可关闭的服务来说，建议关闭不要的服务端口以达到安全目的。不使用相同口令管理多台关键服务器。

建议对账户密码策略建议进行配置，对最大错误登录次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。

建议网络管理员、系统管理员、安全管理员

转载请注明：http://www.wangguoqiangq.com/sglbwh/7040.html