GlobeImposter.RESERVE勒索病毒

电脑中了勒索病毒的变种GlobeImposter.RESERVE,如图1和图2  它把电脑的所有文件和应用程序的后缀名都变成了.RESERVE

图1
图2

 

病毒将所有的文件进行加密,无法打开。加密文件时病毒生成一个how_to _back_files.html文件如图3所示

图3

 

打开how_to _back_files.html文件如图4和图5所示,显示了个人的ID序列号,以及恶意软件作者的联系方式,内容属于勒索内容

图4
图5

简单分析:

       中了毒,用杀毒软件杀毒已经无济于事,不小心还可能删了自己的文件,想破解精神可嘉而已 。此病毒使用了对称加密和非对称加密算法,加密文件时为了提高加密速度,使用了对称加密算法AES算法加密文件,使用本地生成的RSA公钥,将AES算法的密钥加密,使用病毒攻击者的RSA公钥将本地生成的RSA私钥加密,因此想要解密文件需要攻击者的RSA私钥

建议:

        1、一经发现先断网

        2、给没有中毒的服务器打补丁

       3、备份好文件

       4、关闭服务器相关的端口139、445、3389

       5、不要点击来源不明的邮件以及附件

       6、增强口令强度,限制地址登陆,精确到MAC地址,因为攻击者在打开内网突破口后,会在内网对其他主机进行口令暴破。在内网横向移动至一台新的主机后,会尝试进行包括但不限于以下操作:手动或用工具卸载主机上安装的防护软件、 下载或上传黑客工具包、手动启用远程控制以及勒索病毒

       7、如果数据重要,企业想强大,请不要吝啬,多买安全设备,雇佣专业人才,完善管理制度。

 

 

 

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值