2019年11月2日,Globelmposter 3.0勒索病毒再度来袭!目前已经有多家医院被入侵,很多企业内部资料被加密,且被加密的资料不可恢复,目前医院业务瘫痪,正常营业困难。
什么是勒索病毒?
关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。由于这把锁的钥匙只有攻击你的人才拥有,所以很多被攻击的企业为了找回自己的数据资料不得不支付动辄千万的赎金。这种病毒很精明,一般很少入侵个人电脑,主要针对的是企业用户,因为企业有钱啊。
这次的病毒什么来头?
从2017年5月勒索病毒全球大规模爆发以来,它不仅没有完全消失,而且在不断变异中,这次的突发性爆发是一种叫GlobeImposter的病毒变异,它是四大最活跃勒索病毒种类之一,短短一年时间已经变异到了3.0版本。主要通过垃圾邮件、渗透扫描、远程桌面、恶意程序捆绑等方式植入。
GlobeImposter 3.0有什么不同?
从2017年以来,Globelmposter勒索病毒的安全威胁热度一直居高不下。最新袭来的Globelmposter 3.0变种攻击手法极其丰富,可以通过社会工程、RDP爆破、恶意程序捆绑等方式进行传播,被加密文件的后缀将以“*4444”结尾,比如:
Ox4444、China4444、Help4444、Rat4444、Tiger4444、Rabbit4444、Dragon4444、Snake4444、Horse4444、Goat4444、Monkey4444、Rooster4444、Dog4444。
相关资料显示,最新Globelmposter 3.0变种采用的是RSA+AES算法加密,目前暂无相应的免费解密工具可用。在被加密文件所在的目录下,会生成一个名为“HOW_TO_BACK_FILES”的txt文件,用于显示受害者的个人ID序列号以及攻击者的联系方式等。
中小企业成勒索重灾区
目前Globemposter 3.0变种勒索病毒仍在持续肆虐传播,国内已有多个区域、多个行业受该病毒影响,包括政府、医疗行业、教育行业以及企业单位等,呈现爆发趋势。
许多企业由于在安全方面投入不足,缺乏专业的安全运维理念,漏洞修补不及时,一直以来都是黑客攻击的重灾区。而且由于文件被加密后严重影响到正常的服务或经营,只能被迫支付赎金,这也进一步助长了勒索病毒对Windows服务器和中小企业的攻击,同时也开始出现一些针对特定目标的精准勒索。在这里要提醒各位企业用户,一定要在内网、服务器管理方面养成良好的安全习惯,提高风险防范意识,并正确使用安全软件,避免被病毒攻击带来不可挽回的损失。
病毒防范建议
01、定期检测系统漏洞并修复,及时更新Flash、Java、以及一系列Web服务程序,打齐安全补丁;
02、更改服务器口令:复杂度最好采用大小写字母、数字、特殊符号混合的组合结构、口令位数足够长(15位、两种组合以上),并且定期更换登录口令;
03、多台机器不使用相同或相似的口令;
04、不要点击陌生链接、来源不明的邮件附件,打开前使用安全扫描,确认安全性,尽量从软件管家或官网等可信渠道下载软件;
05、对重要的数据、文件进行实时或定期备份,而且是异地备份;
06、安全加固,对服务器和终端安装专业的安全防护软件;
07、共享文件夹设置访问权限管理,尽量采用云协作或内部搭建的wiki系统实现资料共享;
08、Globelmposter勒索病毒之前的变种会利用RDP(远程桌面协议),因此建议关闭相应的RDP(远程桌面协议)3389端口;
09、尽量关闭不必要的文件共享权限以及关闭不必要的高危端口,如:445,135,139,3389等,禁用Office宏;
10、安装专业的安全防护软件,保持监控开启,并经常更新病毒库;
11、对于安全软件报毒的程序,特别是辅助、破解类软件不要主观觉得是误报,尽量上传至VT等在线扫描引擎查下报毒情况;
12、对内网安全域进行合理划分,各个安全域之间限制严格的 ACL,限制横向移动的范;
13、重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御,严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务;
14、在网络内架设 IDS/IPS 设备,及时发现、阻断内网的横向移动行为;
15、在网络内架设全流量记录设备,以及发现内网的横向移动行为,并为追踪溯源提供良好的基础。