至顶网安全频道 09月21日 综合消息: 近期,国家计算机网络应急技术处理协调中心广东分中心发布GlobeImposter勒索病毒家族传播预警,预警报告中指出GlobeImposter正在利用RDP(远程桌面协议)远程爆破等方式突破企业边界防御,再进一步进行内网渗透感染高价值服务器并加密文件。目前,多数据中心遭受到此病毒攻击受到影响。
浪潮SSR安全技术团队在第一时间针对GlobeImposter传播和感染的原理,在SSR5.0版本中进行了防护效果验证。目前,SSR5.0版本的主动防御功能和应用程序管控功能均有较好的防护效果。
新病毒采用更强加密算法,无秘钥文件无法恢复
本次爆发的GlobeImposter勒索病毒,采用RSA和AES两种加密算法的结合,加密磁盘文件并将后缀名篡改为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.RESERVE等。现已确认,在没有病毒作者私钥的情况下无法恢复被加密的文件。最终该病毒将引导受害者通过邮件与勒索者进行联系,要求受害者将被加密的图片或文档发送到指定的邮箱进行付费解密。
勒索软件在加密文件的同时创建了勒索信息文件how_to_back_files.html,要求受害者将一个加密的图片或文档发送到指定的邮箱,由于加密的文件末尾包含个人ID,攻击者可以通过个人ID及其手中的RSA私钥解出用以解密文件的私钥,这样就可以识别不同的受害者。攻击者会给出解密后的文件及解密所有文件的价格,在受害者付款后,攻击者会发送解密程序。
浪潮SSR可有效防护GlobeImposter勒索病毒
浪潮安全团队采用SSR5.0版本对GlobeImposter样本进行防护对比验证。验证环境中部署了三台Win7操作系统的服务器,其中服务器A不安装SSR,服务器B安装SSR并开启主动防护功能,服务器C安装SSR并开启应用程序管控功能。三台设备配置信息如下表所示:
1、服务器A中执行GlobeImposter样本
因服务器A中未部署SSR客户端,在执行GlobeImposter样本后,原文本文件test1.txt被加密,并将后缀名修改为.doc。此外,因文本文件text2.txt为空,根据GlobeImposter文件加密过滤规则,将不对空文件进行加密,即下图所示text2.txt并未被加密。
在被加密文件的目录(此处截图为桌面)生成勒索文件信息Read_ME.html,用于用户支付赎金接口。
2、服务器B中执行GlobeImposter样本
服务器B部署SSR客户端,并开启了主动防御功能,其他功能暂不开启,主要验证主动防御功能是否可阻止GlobeImposter发作。
在服务器B中执行GlobeImposter样本,暂时未发现异常。查看任务管理器,发现GlobeImposter.exe已经执行,但桌面上的text.txt被未被加密,也未产生生成勒索文件信息Read_ME.html。
SSR集中管理平台中主动防御功能监控界面的拦截日志显示,SSR主动防御功能拦截了GlobeImposter.exe在temp目录中创建system.dll文件(勒索软件的变种不同,释放的dll可能不同)。这主要是因为主动防御功能内置了相应的安全策略——禁止在系统目录C盘中创新任何dll动态库,该策略可阻止勒索软件启动时在系统目录释放可执行文件和动态库,防止其后续的加密操作。
此外,SSR主动防御功能还内置多种安全策略,可阻止非授权在系统目录中创建如exe、dll、com、sys等后缀的可执行文件,保证系统不被恶意代码攻击。如果客户服务器除了C盘还有其他盘,建议配合应用程序管控一起使用,这将有更好的防护效果。
3、服务器C中执行GlobeImposter样本
服务器C部署SSR客户端,并开启了应用程序管控功能(软件白名单),其他功能暂不开启,主要验证应用程序管控功能是否可阻止GlobeImposter发作。
在执行GlobeImposter前,已经对服务器C进行白名单采集。在服务器C中执行GlobeImposter样本后,系统直接弹出该程序无法执行的提示。
打开SSR集中管理平台中应用程序管控功能监控界面,从程序运行状态中可以发现GlobeImposter.exe的信任级别为未知,在正常运行模式下,如果应用程序管控功能识别到程序为未知或黑名单,SSR将直接阻止程序的执行,如果识别为白名单或灰名单,程序将可以执行。从程序管控事件中可以看出出,SSR应用程序管控功能阻止了GlobeImposter.exe样本的执行。
从GlobeImposter传播和感染的原理,以及实际验证的情况来看,SSR5.0版本主动防御功能和应用程序管控功能均有较好的防护效果。针对GlobeImposter发作的各个阶段,SSR提供了多维度的防护功能。
防护勒索病毒,浪潮安全专家支招
对于近期泛滥的GlobeImposter勒索病毒家族,浪潮安全专家给出了有效防护的建议:
避免在服务器中使用过于简单的口令。登录口令尽量采用大小写字母、数字、特殊符号混用的组合方式,并且保持口令由足够的长度。同时添加限制登录失败次数的安全策略并定期更换登录口令。
多台机器不要使用相同或类似的登录口令,以免出现“一台沦陷,全网瘫痪”的惨状。
重要资料一定要定期隔离备份。此处尤其注意隔离,在以往的反馈案例中从来不乏确有备份,但由于在同一网络内,导致备份服务器一同被加密的情况。
及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。
关闭非必要的服务和端口如135、139、445、3389等高危端口。
严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。
提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件。
好文章,需要你的鼓励
施耐德电气以“新质服务+产业向‘新’行”为主题,第六次参会,展示全新升级的“新质服务体系”,围绕创新驱动、生态协同和行业赋能三大核心领域,以全新升级的“新质服务体系”,助力中国产业向高端化、智能化、绿色化迈进。
香港中文大学联合上海AI实验室推出Dispider系统,首次实现AI视频"边看边聊"能力。通过创新的三分式架构设计,将感知、决策、反应功能独立分离,让AI能像人类一样在观看视频过程中进行实时交流,在StreamingBench测试中显著超越现有系统,为教育、娱乐、医疗、安防等领域的视频AI应用开启新可能。
甲骨文正在成为大规模基础设施供应商的可靠选择。该公司通过AI技术推动应用开发,构建GenAI模型并将智能代理集成到应用套件中。CEO萨弗拉·卡茨透露,公司剩余履约义务达4553亿美元,同比增长4.6倍,并预测OCI收入将从2026财年的180亿美元增长至2030财年的1440亿美元。甲骨文正积极布局AI推理市场,凭借其作为全球最大企业私有数据托管方的优势地位,有望在云计算领域实现重大突破。
Atla公司发布Selene Mini,这是一个仅有80亿参数的AI评估模型,却在11个基准测试中全面超越GPT-4o-mini。通过精心的数据筛选和创新训练策略,该模型不仅能准确评判文本质量,还能在医疗、金融等专业领域表现出色。研究团队将模型完全开源,为AI评估技术的普及和发展做出贡献。