至顶网安全频道 09月21日 综合消息: 近期,国家计算机网络应急技术处理协调中心广东分中心发布GlobeImposter勒索病毒家族传播预警,预警报告中指出GlobeImposter正在利用RDP(远程桌面协议)远程爆破等方式突破企业边界防御,再进一步进行内网渗透感染高价值服务器并加密文件。目前,多数据中心遭受到此病毒攻击受到影响。
浪潮SSR安全技术团队在第一时间针对GlobeImposter传播和感染的原理,在SSR5.0版本中进行了防护效果验证。目前,SSR5.0版本的主动防御功能和应用程序管控功能均有较好的防护效果。
新病毒采用更强加密算法,无秘钥文件无法恢复
本次爆发的GlobeImposter勒索病毒,采用RSA和AES两种加密算法的结合,加密磁盘文件并将后缀名篡改为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.RESERVE等。现已确认,在没有病毒作者私钥的情况下无法恢复被加密的文件。最终该病毒将引导受害者通过邮件与勒索者进行联系,要求受害者将被加密的图片或文档发送到指定的邮箱进行付费解密。
勒索软件在加密文件的同时创建了勒索信息文件how_to_back_files.html,要求受害者将一个加密的图片或文档发送到指定的邮箱,由于加密的文件末尾包含个人ID,攻击者可以通过个人ID及其手中的RSA私钥解出用以解密文件的私钥,这样就可以识别不同的受害者。攻击者会给出解密后的文件及解密所有文件的价格,在受害者付款后,攻击者会发送解密程序。
浪潮SSR可有效防护GlobeImposter勒索病毒
浪潮安全团队采用SSR5.0版本对GlobeImposter样本进行防护对比验证。验证环境中部署了三台Win7操作系统的服务器,其中服务器A不安装SSR,服务器B安装SSR并开启主动防护功能,服务器C安装SSR并开启应用程序管控功能。三台设备配置信息如下表所示:
1、服务器A中执行GlobeImposter样本
因服务器A中未部署SSR客户端,在执行GlobeImposter样本后,原文本文件test1.txt被加密,并将后缀名修改为.doc。此外,因文本文件text2.txt为空,根据GlobeImposter文件加密过滤规则,将不对空文件进行加密,即下图所示text2.txt并未被加密。
在被加密文件的目录(此处截图为桌面)生成勒索文件信息Read_ME.html,用于用户支付赎金接口。
2、服务器B中执行GlobeImposter样本
服务器B部署SSR客户端,并开启了主动防御功能,其他功能暂不开启,主要验证主动防御功能是否可阻止GlobeImposter发作。
在服务器B中执行GlobeImposter样本,暂时未发现异常。查看任务管理器,发现GlobeImposter.exe已经执行,但桌面上的text.txt被未被加密,也未产生生成勒索文件信息Read_ME.html。
SSR集中管理平台中主动防御功能监控界面的拦截日志显示,SSR主动防御功能拦截了GlobeImposter.exe在temp目录中创建system.dll文件(勒索软件的变种不同,释放的dll可能不同)。这主要是因为主动防御功能内置了相应的安全策略——禁止在系统目录C盘中创新任何dll动态库,该策略可阻止勒索软件启动时在系统目录释放可执行文件和动态库,防止其后续的加密操作。
此外,SSR主动防御功能还内置多种安全策略,可阻止非授权在系统目录中创建如exe、dll、com、sys等后缀的可执行文件,保证系统不被恶意代码攻击。如果客户服务器除了C盘还有其他盘,建议配合应用程序管控一起使用,这将有更好的防护效果。
3、服务器C中执行GlobeImposter样本
服务器C部署SSR客户端,并开启了应用程序管控功能(软件白名单),其他功能暂不开启,主要验证应用程序管控功能是否可阻止GlobeImposter发作。
在执行GlobeImposter前,已经对服务器C进行白名单采集。在服务器C中执行GlobeImposter样本后,系统直接弹出该程序无法执行的提示。
打开SSR集中管理平台中应用程序管控功能监控界面,从程序运行状态中可以发现GlobeImposter.exe的信任级别为未知,在正常运行模式下,如果应用程序管控功能识别到程序为未知或黑名单,SSR将直接阻止程序的执行,如果识别为白名单或灰名单,程序将可以执行。从程序管控事件中可以看出出,SSR应用程序管控功能阻止了GlobeImposter.exe样本的执行。
从GlobeImposter传播和感染的原理,以及实际验证的情况来看,SSR5.0版本主动防御功能和应用程序管控功能均有较好的防护效果。针对GlobeImposter发作的各个阶段,SSR提供了多维度的防护功能。
防护勒索病毒,浪潮安全专家支招
对于近期泛滥的GlobeImposter勒索病毒家族,浪潮安全专家给出了有效防护的建议:
避免在服务器中使用过于简单的口令。登录口令尽量采用大小写字母、数字、特殊符号混用的组合方式,并且保持口令由足够的长度。同时添加限制登录失败次数的安全策略并定期更换登录口令。
多台机器不要使用相同或类似的登录口令,以免出现“一台沦陷,全网瘫痪”的惨状。
重要资料一定要定期隔离备份。此处尤其注意隔离,在以往的反馈案例中从来不乏确有备份,但由于在同一网络内,导致备份服务器一同被加密的情况。
及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。
关闭非必要的服务和端口如135、139、445、3389等高危端口。
严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。
提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件。
好文章,需要你的鼓励
数据分析平台公司Databricks完成10亿美元K轮融资,公司估值超过1000亿美元,累计融资总额超过200亿美元。公司第二季度收入运营率达到40亿美元,同比增长50%,AI产品收入运营率超过10亿美元。超过650家客户年消费超过100万美元,净收入留存率超过140%。资金将用于扩展Agent Bricks和Lakebase业务及全球扩张。
Meta与特拉维夫大学联合研发的VideoJAM技术,通过让AI同时学习外观和运动信息,显著解决了当前视频生成模型中动作不连贯、违反物理定律的核心问题。该技术仅需添加两个线性层就能大幅提升运动质量,在多项测试中超越包括Sora在内的商业模型,为AI视频生成的实用化应用奠定了重要基础。
医疗信息管理平台Predoc宣布获得3000万美元新融资,用于扩大运营规模并在肿瘤科、研究网络和虚拟医疗提供商中推广应用。该公司成立于2022年,利用人工智能技术提供端到端平台服务,自动化病历检索并整合为可操作的临床洞察。平台可实现病历检索速度提升75%,临床审查时间减少70%,旨在增强而非替代临床判断。
上海AI实验室发布OmniAlign-V研究,首次系统性解决多模态大语言模型人性化对话问题。该研究创建了包含20万高质量样本的训练数据集和MM-AlignBench评测基准,通过创新的数据生成和质量管控方法,让AI在保持技术能力的同时显著提升人性化交互水平,为AI价值观对齐提供了可行技术路径。