关于 GlobeImposter 的勒索病毒说明

最新推荐文章于 2023-07-23 17:30:25 发布
最新推荐文章于 2023-07-23 17:30:25 发布
阅读量3k 收藏 2
点赞数
分类专栏: 运维 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cscaishudadao/article/details/103816451
版权

GlobeImposter是近期非常活跃的勒索家族,首次出现在2017年5月份,此后,不断出现新的版本和变种。Globelmposter攻击手法都极其丰富, 通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。Globelmposter勒索病毒攻击目标,较多选择国内金蝶、用友软件的内置SQL Server或Oracle数据库作为承载点,向内网扩散,而Windows 2008或Windows 7等旧版本的机器较容易中毒。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且用户无法读取原本正常的文件,对用户造成无法估量的损失。由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,必须拿到对应的解密私钥才有可能无损还原被加密文件。黑客正是通过这样的行为向受害用户勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。
针对层出不穷的勒索病毒变种,企业主要以预防为主,需要加强自身信息安全管理能力,尤其是弱口令、漏洞、文件共享和远程桌面的管理,主要预防措施如下:
1. 及时更新操作系统补丁,修复相关安全漏洞,例如(CVE-2019-0708,远程桌面服务远程执行代码漏洞);
2. 对重要的数据文件定期进行备份并做离线处理。
3. 不要点击来源不明的邮件附件,不从不明网站下载软件;
4. 杜绝弱口令密码,加强密码管理,定期修改密码;
5. 配置账户锁定策略,在输入5次错误密码后禁止登陆;
6. 安装杀毒软件,设置退出或更改需要密码,防止进入关闭杀毒软件;
7. 服务器尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等;
8. 禁止外网发布3389端口,如果确实需要,可考虑通过VPN等安全方式连接内网;
9. Globelmposter勒索病毒之前的变种会利用RDP(远程桌面协议),因此建议关闭相应的RDP(远程桌面协议)。
当确认服务器已经被感染勒索病毒后,应当及时采取必要的自救措施,确保将影响范围和危害降到最低,主要应对措施如下:
1. 当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,可以采用断开网络或关机的方法,预防感染其他计算机,防止病毒扩散,造成更多数据损失;
2. 结束病毒进程,安装杀毒软件,查杀病毒,预防二次中毒加;
3. 备份加密数据,预防意外造成加密数据损坏无法解密;
4. 联系专业技术人士或安全从业者排查处理。

GlobeImposter勒索病毒的原理参考资料:
https://xz.aliyun.com/t/2711

有关 Globelmposter 勒索病毒以及其它的 Ransomware 的问题,请参考如下几个知识库:
这是一个老病毒变种的介绍和说明:
https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Ransom-EVE.aspx
https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Ransom-EVE/detailed-analysis.aspx
下面链接是一个详细的17页英文介绍:
https://www.sophos.com/en-us/medialibrary/PDFs/factsheets/sophos-btcware-ransomware-wpna.pdf

以下是几个有关Sophos勒索病毒的知识库,建议有时间时可以阅读一下,这样可以对用户有更好的支持和帮助。

Article ID: 120797
Title: Ransomware: Information and prevention
URL: https://sophos.com/kb/120797

Article ID: 124744
Title: Ransomware: Prevention advice for Sophos products
URL: https://sophos.com/kb/124744

Article ID: 124675
Title: Ransomware: Frequently asked questions
URL: https://sophos.com/kb/124675

Article ID: 124699
Title: Ransomware: How an attack works
URL: https://sophos.com/kb/124699

Article ID: 124679
Title: Ransomware: Recovery and removal
URL: https://sophos.com/kb/124679

如果遇到新样本,请一定尽快按下面知识库说明提交样本:

Article ID: 11490
Title: How to submit samples of suspicious files to Sophos
URL: https://sophos.com/kb/11490

文章转自内部邮件

Dantalion
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GlobeImposter勒索病毒新变种C4H东山再起
systemino的博客
05-21 3035
0x0 背景介绍 随着疫情的缓解,各地企业纷纷复工,而勒索病毒家族也并没有停下他们的脚步。近期深信服安全团队就收到多个地区关于用户主机遭受大面积.C4H勒索病毒入侵的求助,经过安全团队排查分析,确认为GlobeImposter勒索病毒家族的最新变种C4H。 GlobeImposter家族首次出现的时间为2017年5月,随后在2018与2019年出现不同系列的变种,如:以特征字符“.Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444”等的“十二生肖
Globelmposter勒索病毒最新“十二主神”预警
systemino的博客
07-10 2869
近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等,目前国内已有多家大型医院率先发现感染案例! Ares是希腊神话里的战神阿瑞斯,Zeus是主神宙斯,Aphrodite是爱与美之女神阿佛洛狄忒,Apollon是光明、音乐、预言与医药之神阿波罗,通过查阅资料意外发现...
安全预警!Globelmposter3.0勒索病毒来袭!
效率源科技的博客
03-13 483
近期,多地发生Globelmposter勒索病毒事件,Globelmposter勒索病毒已经更新到3.0变种,受影响的系统其数据库文件被加密破坏,病毒将加密后的文件重命名为.Ox4444等扩展名,并要求用户通过邮件沟通赎金与解密密钥等。目前国内多家企业中招,呈现爆发趋势。遭受攻击的企业系统无法正常运行,日常工作难以开展,造成了严重损失。 面对来势汹汹的勒索病毒,数据恢复四川省重点实验室始终站...
再看Globe家族勒索病毒
weixin_43781139的博客
03-11 505
0x00 前言准备 病毒类别:GlobeImposter勒索病毒 实验环境:win10 分析工具:火绒剑 IDA x32dbg die 我们之前分析过了一个Globe家族的勒索病毒,最近又遇到一个,也感觉之前那个分析的不够仔细,今天我们重新看看这个家族的勒索病毒。 0x01 样本基本信息 病毒样本可从微步云沙箱里获取 0x02 虚拟机尝试运行 1、首先虚拟机打个快照,方便我们运行木马 2、网络环境一定要注意断网,虚拟机卸载虚拟网卡即可 尝试运行病毒...
GlobeImposter
swordheart的博客
01-23 451
GlobeImposter 1、原理说明 1、病毒概述 Globelmposter家族首次发现在2017年5月份,这次发现的样本为Globelmposter家族的最新样本,没有内网传播功能,其加密文件使用.TECHNO扩展名,取消了勒索付款的比特币钱包地址以及回传信息的“洋葱”网络地址,而是直接通过邮件地址告知受害者联系,然后取得相应的付款方式,由于Globelmposter采用RSA2048算法加密,目前该勒索样本加密的文件无解密工具。 加密过程与以往的勒索软件并无太差差异,主要是差异在于..
GlobeImposter勒索病毒攻击事件预警to企业客户.pdf
05-30
GlobeImposter勒索病毒攻击事件预警to企业客户
勒索病毒应急响应自救手册.docx
06-10
2. GlobeImposter 勒索GlobeImposter 是一种变种的勒索病毒,它可以感染 Windows 操作系统,并加密文件。GlobeImposter 勒索病毒的特点是,它可以通过社交工程来欺骗用户安装恶意软件。 3. Crysis/Dharma 勒索:...
勒索病毒应急措施及防护方案.pdf
10-13
勒索病毒已经成为了网络安全领域的一大威胁,尤其在2019年上半年,这类病毒的攻击活动频繁,给企业和个人用户带来了巨大的经济损失。勒索病毒主要通过弱口令攻击、垃圾邮件传播以及利用系统漏洞进行扩散,其攻击手段...
勒索病毒应急措施及防护方案.pptx [19页].pptx
05-15
2. GlobeImposter 勒索病毒:首次出现于 2017 年 5 月,攻击手法都极其丰富,通过垃圾邮件、社交工程、渗透扫描、RDP 爆破、恶意程序捆绑等方式进行传播。 3. Crysis 勒索病毒:从 2016 年开始具有勒索活动,加密...
高危预警:针对财务系统的Globelmposterb 5.0变种勒索病毒
weixin_34323858的博客
03-12 741
近日,安全团队(公众号:网安众安)发现针对财务系统的勒索病毒Globelmposterb新变种5.0已呈蔓延趋势,该病毒会针对目前国内广泛应用的财务系统及财务管理软件默认端口5366(详见下图),受此病毒影响的系统,数据库文件被加密,且扩展名变成“Benjamin_Jack2811@aol.com”,目前国内多家公司财务系统已中招,并且有愈演愈烈的趋势,望广大用户做好安全防护,警惕Globelmp...
globeimposter 解密工具_移除 GlobeImposter 2.0 病毒 (移除说明) - 2017 年 8月 更新
weixin_39534873的博客
12-21 753
GlobeImposter 2.0 可能劫持超过 30 个文件然后要求支付赎金GlobeImposter 2.0是一个复制了Globe 勒索病毒的Globe Imposter新变种。这个恶意软件主要是针对以英语和俄语沟通的的计算机用户。它使用了AES 加密法对文件进行加密,并在HOW_OPEN_FILES.hta里提供了复原的指示。Globe 的第一份副本制作不佳,因此很快地就被 Emsis...
Globelmposter勒索病毒变种样本分析报告
aihan8042的博客
05-21 328
一.样本概况 1、样本信息 样本来源:http://www.malware-traffic-analysis.net/2017/12/04/index.html Kaspersky,NOD32,360均报毒: MD5: 2908715EEC754ABA1AD21414B23CAFB6 SHA1: 4AF27F4B95F29F877D0ABB1167E...
网络安全之认识勒索病毒
学而思(xiejava的blog)
03-23 4980
勒索病毒,是一种新型电脑病毒,伴随数字货币兴起,主要以邮件、程序木马、网页挂马、服务器入侵、捆绑软件等多种形式进行传播,一旦感染将给用户带来无法估量的损失。如果遭受勒索病毒攻击,将会使绝大多数文件被加密算法加密,并添加一个特殊的后缀,用户无法读取原文件内容,被感染者一般无法解密,必须拿到解密的私钥才有可能无损还原被加密文件。而拿到解密的私钥,通常需要向攻击者支付高昂的赎金,这些赎金必须是通过数字货币支付,一般无法溯源,因此极易造成严重损失。
Globeimposter勒索病毒新变种分析
最新发布
qq_53058639的博客
07-23 112
可以预见,随着勒索病毒的发展,勒索病毒在未来几年仍然是企业面临的最大威胁之一,同时未来一定会有更多成熟的技术高超的黑客组织通过勒索病毒发起攻击。最后,在做好对勒索病毒防御的情况下,云安全中心还支持文件备份服务,能定期对指定文件进行备份,支持按时间按文件版本恢复,在极端情况发生而导致文件被加密时,能够通过文件恢复的方式找回,做到万无一失。其次,通过放置诱饵的方式,云安全中心实时捕捉可能的勒索病毒行为,尤其针对新型未知的勒索病毒,一旦识别到有异常加密行为发生,会立刻拦截同时通知用户进行排查,进行清理;
勒索病毒解密工具的汇总
热门推荐
LiBai'S BLOG
05-21 2万+
以下为日常搜集的勒索病毒解密工具的汇总。希望对大家有用! [777 Ransom] Trend Micro Ransomware解密器用来解密777勒索软件加密的文件 https://success.trendmicro.com/solution/1114221 [AES_NI Ransom] Rakhni解密器用来解密AES_NI勒索软件加密的文件 http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip [Age
关于勒索病毒你不得不懂的知识点
hack0919的博客
05-21 1105
勒索病毒已经在全球范围内爆发,基本上每天都有企业被勒索病毒攻击
深度解析勒索病毒GlobeImposter3.0变种 加解密流程全曝光
weixin_33686714的博客
09-10 2631
背景 GlobeImposter勒索病毒家族从2017年出现,持续活跃到现在,先后出现过V1.0和V2.0两个版本。最近该勒索病毒又更新了,虽然其整体代码框架变化不大,只做了些局部修改,我们也勉强将其称为V3.0版本。该版本仍然采用RSA和AES两种加密算法的结合,病毒本身也未添加横向传播渗透的能力。 相较之前版本,该版本对RSA公钥和加密文件后缀采用了...
学习笔记-GlobeImposter 勒索病毒分析
a2a_66666的博客
09-06 760
0x00前言 此样本是GlobeImposter勒索病毒早期版本,它会加密磁盘文件并篡改后缀名..doc。由于其采用高强度非对称加密方式,受害者在没有私钥的情况下无法恢复文件。 分析工具:DIE、火绒剑、IDA、OD 分析环境:Win7 x86 Vmware 0x01样本信息 File name:lGGtcrugME.exe File Size:155 KB File ...
深信服EDR:下一代终端安全,有效应对高级威胁
勒索病毒GlobeImposter和WanaCry的爆发,已经对政府、医疗、公安、金融和企业等多个领域造成了严重影响,包括服务中断、数据加密和经济损失。这些攻击的特点是快速传播、长期驻留且难以清除,使得企业对快速响应和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值