科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道变种来了!加强版GlobeImposter勒索病毒来袭,附全面防范攻略

变种来了!加强版GlobeImposter勒索病毒来袭,附全面防范攻略

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

近日,亚信安全网络监测实验室监测到大量GlobeImposter勒索病毒在我国传播,此次勒索病毒变种繁多,被加密后的文件扩展名也各不相同,包括.crypted!、.doc和.TRUE等。

来源:至顶网安全频道2018-03-07 10:46:31

关键字: GlobeImposter 勒索病毒 亚信安全

  • 评论
  • 分享微博
  • 分享邮件

近日,亚信安全网络监测实验室监测到大量GlobeImposter勒索病毒在我国传播,此次勒索病毒变种繁多,被加密后的文件扩展名也各不相同,包括.crypted!、.doc和.TRUE等。GlobeImposter勒索病毒主要是通过垃圾邮件进行传播,与以往不同的是,此次变种会通过邮件来告知受害者付款方式,勒索赎金从1到10比特币不等。亚信安全相关产品已经可以检测GlobeImposter家族,并将其命名为RANSOM_FAKEGLOBE。

【亚信安全高危预警】变种来了!加强版GlobeImposter勒索病毒来袭,附全面防范攻略

亚信安全详解病毒技术细节

Globelmposter家族首次出现时间为2017年5月,近日再次活跃,并有大量变种来袭。亚信安全已经拦截该家族的最新变种,将其命名为RANSOM_FAKEGLOBE.THAOLAH。

该病毒在被感染系统中生成如下自身拷贝文件:

· %Application Data%{ Malware name }.exe

为达到自启动目的,该病毒添加如下注册表键值:

· HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce BrowserUpdateCheck = %Application Data%{Malware name}.exe

该病毒避免加密文件名中含有下列字符串的文件:

· {Malware name }

· how_to_back_files.html

· {GUID }

该病毒避免加密下列文件夹中的文件:

· Windows

· Microsoft

· Microsoft Help

· Windows App Certification Kit

· Windows Defender

· ESET

· COMODO

· Windows NT

· Windows Kits

· Windows Mail

· Windows Media Player

· Windows Multimedia Platform

· Windows PhoneKits

· Windows Phone Silverlight Kits

· Windows Photo Viewer

· WindowsPortable Devices

· Windows Sidebar

· WindowsPowerShell

· NVIDIA Corporation

· Microsoft.NET

· Internet Explorer

· Kaspersky Lab

· McAfee

· Avira

· spytech software

· Sysconfig

· Avast

· Dr.Web

· Symantec

· Symantec_Client_Security

· system volume information

· AVG

· Microsoft Shared

· Common Files

· Outlook Express

· Movie Maker

· Chrome

· Mozilla Firefox

· Opera

· YandexBrowser

· Ntldr

· Wsus

· ProgramData

被加密后的文件扩展名为:

· crypted!

其会在加密文件路径下,生成如下勒索提示信息文件:

· how_to_back_files.html

生成的勒索提示文件,主要包括受害者个人的ID序列号和勒索者的联系方式:

【亚信安全高危预警】变种来了!加强版GlobeImposter勒索病毒来袭,附全面防范攻略

亚信安全教你如何防范

勒索病毒不可能在短期内消失,网络犯罪分子采取的战术策略也在演变,其攻击方式更加多样化。对于勒索病毒的变种,亚信安全建议用户可以通过部署防火墙、邮件网关等产品作为第一道防线,行为监控和漏洞防护产品则可以有效阻止威胁到达客户端。具体防范措施如下:

· 不要点击来源不明的邮件以及附件;

· 及时升级系统,打全系统补丁;

· 尽量关闭不必要的文件共享权限和不必要的端口;

· 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储;

· 亚信安全病毒码版本13.992.60 ,云病毒码版本13.992.71,全球码版本13.991.00已经可以检测到该病毒,请用户及时升级病毒码版本;

· 亚信安全终端安全产品OfficeScan具有勒索病毒防御功能(AEGIS),可以有效阻拦勒索病毒对用户文件加密;

· 亚信安全邮件安全网关产品,可以有效拦截勒索病毒邮件,做到在源头上进行阻断拦截。

科技行者:每条内容都是头条的新闻客户端 扫码立即下载

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    相关文章
    最新文章