公司新闻
近期疯狂肆虐医疗机构元凶Globelmposter勒索病毒解决方案
阅读提示:本文档主要侧重于预防及处理,协助网管进行病毒防御,详细的病毒样本分析研究方面的请另见相关技术文档。
1 病毒说明
Globe属于近年常见的勒索型病毒,GlobeImposter是其的升级变异,金山安全利用部署在全国监控节点结果来看,自2017年以来GlobeImposter演变了多个变种,包括对文件加密并统一修改后缀分别为“doc、f41o1、chak、true”等的变种,近期有感染暴发趋势,医疗机构感染频率较高。
最新变种GlobeImposter2.0取用2048位非对称加密算法进行加密,增加解密难度,目前暂无有效的恢复工具。该类病毒既有典型的勒索型病毒特征,如传用漏洞进行传播,统一篡改加密文件后缀, 感染后生成文件提示缴纳虚拟币作为赎金。同时其传播的手段更丰富,如精心制作大量社会工程邮件,诱骗受害者点击下载恶意代码;从监控结果看,病毒具有RDP弱口令猜测能力,且内网主机感染后, 黑客甚至利用该病毒进行内网渗透,远程控制进行进一步的攻击。
2 感染特征
以DOC变种为例,其它变种特征类同。病毒文件执行后,GlobeImposter勒索软件将加密计算机各种文件,包括系统文件、数据库文件及办公类文件等,然后生成以DOC为扩展后缀的加密文件,如下图:
GlobeImposter加密文件同时创建赎金备注文件,如下图:
3 传播感染方式
1) 外网传播
1 社会工程邮件(如鱼叉)
2 网页插件(如水坑)
3 网页下载
4 IM文件
2) 内网传播
1 共享漏洞
2 口令猜测
3 移动存储介质
4 金山安全解决方案
4.1 回顾与思考
回顾这几年的勒索型病毒的传播及演变,攻击者逐步追求利益最大化,推测未来攻击会趋向于更有针对性,如结合社会工程进行深层次的ATP攻击。所以未来机构、事件单位、企业等将会是攻击主要目标。而这些单位网络终端多、网络复杂、应用场景复杂、数据机密相对高,容易隐藏安全死角,一旦少数终端感染快速大量传播,造成数据破坏、业务中断风险。
随着虚拟币市场的快速发展,勒索病毒传播及变种将会相应暴发式增长,同时利用技术亦会不断提高,简单的专杀工具逐渐不能满足所需。依托金山20多年的病毒研究技术积累,金山安全拥有高效的病毒动态分析防御能力。同时借助在全国各地的监控点,快速捕获各种勒索病毒变种样本,不断丰富病毒库。
邮件、网页下载、网页浏览、漏洞利用及移动介质使用等均是感染病毒高风险途径,单一防护亦不能有效防御病毒。金山安全根据多年对勒索病毒的持续跟踪研究,利用金山安全防毒墙及V8+终端安全系统构建了包括网关、边界、云端及终端的完善立体式勒索病毒查杀防御方案。
金山VGM新一代防毒墙可有效拦截/监控诸如病毒传播、蠕虫攻击、木马通讯、僵尸网络、口令探测等当前活跃的多种网络威胁。+终端安全系统构建了包括网关、边界、云端及终端的完善立体式勒索病毒查杀防御方案。
金山V8+终端安全系统含有病毒查杀、补丁修复、移动介质安全管理等丰富的终端安全管理功能。可动态检测、实时处理、全网追溯用户网络中的已知及未知威胁。
4.2 应对方法
1)任何终端电脑使用者,均不要轻易打开不信任的链接、邮件、QQ附件等。
2)掉停非必要共享,如非必要关闭不需要的服务以及共享端口(445,139,135等)。
3)注意备份重要数据,且建议多份备份,备份到linux系统。
4)关掉不必要的3389等RDP远程登录服务,设置强壮口令,利用金山防毒墙对弱口令猜测防御。
5)利用金山防毒墙对网络中恶意流量进行分析过滤,在内外网关节点有效防御病毒跨网传播,及时发现感染后的木马外联行为,以及防止病毒感染后的对内部进一步的渗透攻击。
6)利用金山V8+终端防御系统的“漏洞修复”功能对终端进行补丁加固,特别是MS17-010等的共享型漏洞补丁。
7)病毒实时监控及定期查杀
利用金山V8+终端防御系统创建策略实现定时杀时以及实时监控。同时开启安全加固模块。此加固模块已内置了基于HIPS的勒索者主动防御机制,能有效对抗各类已知和未知勒索软件(已申请专利)。开启此安全加固模块后,所有用户的终端均可免于GlobeImposter勒索病毒的侵袭,免于感染。
8)移动存储介质安全管控
利用金山V8+利用金山V8+终端防御系统的“边界管理”对所有边界进行安全监控及防护,包括U盘、移动硬盘、网络共享、网络下载、IM聊天、网络浏览等,减少病毒感染机率。
4.3 场景方案
4.3.1 对已感染病毒处理
1) 对感染终端进行脱网处理
2) 利用金山V8+终端防御系统创建策略快速查杀。
3) 利用金山V8+终端防御系统对终端进行补丁修复
4.3.2 对无法加固终端防御方案
除了根据“4.2应对方法”对数据进行备份、关闭不必要服务及端口等外,同时建议利用金山安全产品实现安全防御,降低感染风险。
1) 利用金山防毒墙在网关进行异常流量监控。
2) 利用金山V8+终端防御系统创建策略对终端进行实时监控。
4.3.3 对存在大量共享网络方案
除了根据“4.2应对方法”对数据进行备份、关闭不必要服务及端口等外,同时建议利用金山安全产品实现安全防御,降低感染风险。
1) 利用金山V8+终端防御系统对终端进行漏洞修复。
2) 利用金山防毒墙在网关进行异常流量监控。
3) 利用金山V8+终端防御系统创建策略对终端进行实时监控。
4.3.4 对XP系统防护
除了根据“4.2应对方法”对数据进行备份、关闭不必要服务及端口等外同时建议利用金山安全产品实现安全防御,降低感染风险。
1) 利用金山防毒墙在网关进行异常流量监控。
2) 利用金山V8+终端防御系统创建策略对终端进行实时监控。
3) 利用金山V8+终端防御系统的“XP防护盾”安全模块进行防御。
