近日,比特豹战略合作伙伴亚信安全网络监测实验室监测到大量GlobeImposter勒索病毒变种在我国法院行业传播,并呈现爆发的趋势。早在今年2月该勒索病毒曾对国内多数企事业单位发动过攻击,时隔半年,该病毒变种后再次爆发。此次勒索病毒变种繁多,因此被加密后的文件扩展名也各不相同,其包括.ALCO、ALC02、ALC03和RESERVE等。本次截获的GlobeImposter勒索病毒变种主要攻击开启远程桌面服务的服务器,通过RDP弱口令暴力破解方式进行传播,亚信安全已经可以检测该勒索病毒,并将其命名为Ransom_FAKEGLOBE.SMB。
1.1病毒技术细节分析
该病毒在被感染系统中生成如下自身拷贝文件:
%AppDataLocal%\{Malware Name}.exe
在系统目录中生成如下文件:
%SystemRoot%\Users\Public\B26A340109A0081ADF57D63647533B8681DC0B8E159BE052385ED4024E9CFFBC
为达到自启动目的,该病毒添加如下注册表键值:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
BrowserUpdateCheck = %Application Data%\{Malware name}.exe
被加密后的文件扩展名为:
ALCO
其会在加密文件路径下,生成如下勒索提示信息文件:
how_to_back_files.html
生成的勒索提示文件,主要包括受害者个人的ID序列号和勒索者的联系方式:
2 应急防护措施
由于Globelmposter变种采用RSA2048算法加密,目前该勒索病毒加密的文件无法解密,用户要时刻警惕该病毒,做好预防工作。
不要点击来源不明的邮件以及附件;
及时升级系统,打全系统补丁(MS10-046\MS17-010);
尽量关闭不必要的文件共享权限和不必要的端口(例如:139、445、3389);
设置高强度的系统账号密码;
请注意备份重要文档,备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
3.1 桌面终端勒索软件防护方案
通过在桌面终端上部署亚信安全桌面防病毒软件OfficeScan,完成桌面端在未打补丁的情况下实现多层次的对勒索软件威胁的防御。
(1)病毒码防护
比特豹合作伙伴亚信安全在勒索软件事件爆发后的第一时间更新了病毒特征库,实现对勒索软件的查杀。
(2)行为监控拦截
亚信安全桌面防病毒软件OfficeScan的行为监控模块,具有异常加密功能防御功能,可实现不依赖病毒码和补丁的情况下,也能抵御勒索软件的能力。开启勒索软件监控功能后,巩固了对已知和未知变种勒索病毒的防御能力。
(3)爆发阻止防御
OfficeScan产品具备病毒爆发防御功能,当勒索病毒爆发时,检测到病毒和共享文件夹会话超出设置阈值时,可在病毒代码未完成扩散之前自动对网络中的病毒传播途径进行控制。
通过集中封闭445端口,拒绝勒索软件相关文件的写入控制,快速实现勒索软件威胁扩散的有效防御,第一时间完成防御体系的建设。
3.2 业务服务器勒索软件防护方案
在内外网windows和Linux系统集中部署亚信安全服务器深度威胁安全防护软件Deep Security,在无法快速安装系统补丁的情况下,快速的完成了三层威胁的防护。
(1)病毒库防护
亚信安全在勒索软件事件爆发后的第一时间更新了产品的病毒特征库,实现对勒索软件的查杀。
(2)访问控制防护
利用产品的防火墙功能对445端口进行限制,阻断勒索软件传播的途径。也有效的拦截了威胁在终端间的横向扩散感染。
(3)虚拟补丁防护。
遭遇突发的威胁事件,在未经测试的情况下,为业务服务器安装系统补丁极易对业务系统的正常运行造成影响,亚信安全Deep Security系统的虚拟补丁功能可实现在不安装系统补丁的情况下,利用在系统外面构建防御层,对勒索软件利用的漏洞数据包进行拦截,实现勒索事件威胁防御的快速响应。
3.2 网络勒索软件防护方案
在各个网络核心层次交换机上部署威胁发现设备(Threat Discovery Appliance-简称TDA)执行综合的全面覆盖,监控勒索病毒网络传播活动并精准定位,配合采用全新一代高级威胁防护引擎的深度威胁安全网关(Deep Edge),可以在网络边界位置阻断勒索病毒。
(1)基于网络内容检测技术的分析
支持从网络层至应用层的多种综合协议网络流量检测,检测企图传播或传染其它用户的恶意软件,确定相关事件的可疑威胁。
(2)APT侦测及防护
借助TDA的高级未知威胁扫描引擎,Deep Edge可以侦测APT攻击所使用的高度定制化恶意程序、URL、IP及域等可疑威胁对象,从而实现针对可疑APT对象,尤其是未批露漏洞或零日漏洞的侦测、分析、识别以及拦截。
(3)虚拟补丁技术
Deep Edge使用虚拟补丁技术以及基于深度数据包检测的主动式主机入侵防御系统,以提供深度防护和合规性支持,屏蔽已知漏洞以防止其被无限制利用,全面防止拒绝服务攻击(DoS)及端口扫描以减少攻击层面,进而防止已知攻击和零日攻击的入侵。