电脑中了勒索病毒的变种GlobeImposter.RESERVE,如图1和图2 它把电脑的所有文件和应用程序的后缀名都变成了.RESERVE
病毒将所有的文件进行加密,无法打开。加密文件时病毒生成一个how_to _back_files.html文件如图3所示
打开how_to _back_files.html文件如图4和图5所示,显示了个人的ID序列号,以及恶意软件作者的联系方式,内容属于勒索内容
简单分析:
中了毒,用杀毒软件杀毒已经无济于事,不小心还可能删了自己的文件,想破解精神可嘉而已 。此病毒使用了对称加密和非对称加密算法,加密文件时为了提高加密速度,使用了对称加密算法AES算法加密文件,使用本地生成的RSA公钥,将AES算法的密钥加密,使用病毒攻击者的RSA公钥将本地生成的RSA私钥加密,因此想要解密文件需要攻击者的RSA私钥
建议:
1、一经发现先断网
2、给没有中毒的服务器打补丁
3、备份好文件
4、关闭服务器相关的端口139、445、3389
5、不要点击来源不明的邮件以及附件
6、增强口令强度,限制地址登陆,精确到MAC地址,因为攻击者在打开内网突破口后,会在内网对其他主机进行口令暴破。在内网横向移动至一台新的主机后,会尝试进行包括但不限于以下操作:手动或用工具卸载主机上安装的防护软件、 下载或上传黑客工具包、手动启用远程控制以及勒索病毒
7、如果数据重要,企业想强大,请不要吝啬,多买安全设备,雇佣专业人才,完善管理制度。