GlobeImposter勒索病毒再度来袭?莫慌,浪潮SSR为你保驾护航

近期,国家计算机网络应急技术处理协调中心广东分中心发布GlobeImposter勒索病毒家族传播预警,预警报告中指出GlobeImposter正在利用RDP(远程桌面协议)远程爆破等方式突破企业边界防御……

至顶网安全频道 09月21日 综合消息: 近期,国家计算机网络应急技术处理协调中心广东分中心发布GlobeImposter勒索病毒家族传播预警,预警报告中指出GlobeImposter正在利用RDP(远程桌面协议)远程爆破等方式突破企业边界防御,再进一步进行内网渗透感染高价值服务器并加密文件。目前,多数据中心遭受到此病毒攻击受到影响。

浪潮SSR安全技术团队在第一时间针对GlobeImposter传播和感染的原理,在SSR5.0版本中进行了防护效果验证。目前,SSR5.0版本的主动防御功能和应用程序管控功能均有较好的防护效果。

新病毒采用更强加密算法,无秘钥文件无法恢复

本次爆发的GlobeImposter勒索病毒,采用RSA和AES两种加密算法的结合,加密磁盘文件并将后缀名篡改为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.RESERVE等。现已确认,在没有病毒作者私钥的情况下无法恢复被加密的文件。最终该病毒将引导受害者通过邮件与勒索者进行联系,要求受害者将被加密的图片或文档发送到指定的邮箱进行付费解密。

勒索软件在加密文件的同时创建了勒索信息文件how_to_back_files.html,要求受害者将一个加密的图片或文档发送到指定的邮箱,由于加密的文件末尾包含个人ID,攻击者可以通过个人ID及其手中的RSA私钥解出用以解密文件的私钥,这样就可以识别不同的受害者。攻击者会给出解密后的文件及解密所有文件的价格,在受害者付款后,攻击者会发送解密程序。

浪潮SSR可有效防护GlobeImposter勒索病毒

浪潮安全团队采用SSR5.0版本对GlobeImposter样本进行防护对比验证。验证环境中部署了三台Win7操作系统的服务器,其中服务器A不安装SSR,服务器B安装SSR并开启主动防护功能,服务器C安装SSR并开启应用程序管控功能。三台设备配置信息如下表所示:

1、服务器A中执行GlobeImposter样本

因服务器A中未部署SSR客户端,在执行GlobeImposter样本后,原文本文件test1.txt被加密,并将后缀名修改为.doc。此外,因文本文件text2.txt为空,根据GlobeImposter文件加密过滤规则,将不对空文件进行加密,即下图所示text2.txt并未被加密。

在被加密文件的目录(此处截图为桌面)生成勒索文件信息Read_ME.html,用于用户支付赎金接口。

2、服务器B中执行GlobeImposter样本

服务器B部署SSR客户端,并开启了主动防御功能,其他功能暂不开启,主要验证主动防御功能是否可阻止GlobeImposter发作。

在服务器B中执行GlobeImposter样本,暂时未发现异常。查看任务管理器,发现GlobeImposter.exe已经执行,但桌面上的text.txt被未被加密,也未产生生成勒索文件信息Read_ME.html。

SSR集中管理平台中主动防御功能监控界面的拦截日志显示,SSR主动防御功能拦截了GlobeImposter.exe在temp目录中创建system.dll文件(勒索软件的变种不同,释放的dll可能不同)。这主要是因为主动防御功能内置了相应的安全策略——禁止在系统目录C盘中创新任何dll动态库,该策略可阻止勒索软件启动时在系统目录释放可执行文件和动态库,防止其后续的加密操作。

此外,SSR主动防御功能还内置多种安全策略,可阻止非授权在系统目录中创建如exe、dll、com、sys等后缀的可执行文件,保证系统不被恶意代码攻击。如果客户服务器除了C盘还有其他盘,建议配合应用程序管控一起使用,这将有更好的防护效果。

3、服务器C中执行GlobeImposter样本

服务器C部署SSR客户端,并开启了应用程序管控功能(软件白名单),其他功能暂不开启,主要验证应用程序管控功能是否可阻止GlobeImposter发作。

在执行GlobeImposter前,已经对服务器C进行白名单采集。在服务器C中执行GlobeImposter样本后,系统直接弹出该程序无法执行的提示。

打开SSR集中管理平台中应用程序管控功能监控界面,从程序运行状态中可以发现GlobeImposter.exe的信任级别为未知,在正常运行模式下,如果应用程序管控功能识别到程序为未知或黑名单,SSR将直接阻止程序的执行,如果识别为白名单或灰名单,程序将可以执行。从程序管控事件中可以看出出,SSR应用程序管控功能阻止了GlobeImposter.exe样本的执行。

从GlobeImposter传播和感染的原理,以及实际验证的情况来看,SSR5.0版本主动防御功能和应用程序管控功能均有较好的防护效果。针对GlobeImposter发作的各个阶段,SSR提供了多维度的防护功能。

防护勒索病毒,浪潮安全专家支招

对于近期泛滥的GlobeImposter勒索病毒家族,浪潮安全专家给出了有效防护的建议:

避免在服务器中使用过于简单的口令。登录口令尽量采用大小写字母、数字、特殊符号混用的组合方式,并且保持口令由足够的长度。同时添加限制登录失败次数的安全策略并定期更换登录口令。

多台机器不要使用相同或类似的登录口令,以免出现“一台沦陷,全网瘫痪”的惨状。

重要资料一定要定期隔离备份。此处尤其注意隔离,在以往的反馈案例中从来不乏确有备份,但由于在同一网络内,导致备份服务器一同被加密的情况。

及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。

关闭非必要的服务和端口如135、139、445、3389等高危端口。

严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。

提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件。

来源:业界供稿

0赞

好文章,需要你的鼓励

2018

09/21

14:18

分享

点赞

邮件订阅
白皮书