自2018年8月20日,多地爆发GlobeImposter勒索病毒事件,经分析,我们发现此次黑客使用的勒索病毒全部为GlobeImposter家族(安全狗在2018年4月份有发布过该病毒家族的预警信息和分析报告,详见黑客在突破企业防护边界后释放并运行勒索病毒,最终导致系统破坏,影响正常工作秩序。

此次GlobeImposter勒索家族攻击事件显现出下列特点:

1. GlobeImposter勒索家族习惯以垃圾邮件方式和扫描渗透的方式进行传播,此次勒索病毒的攻击过程极可能为Windows远程桌面服务密码被暴力破解后植入勒索病毒。

2. 从勒索病毒样本层面看,此次的GlobeImposter勒索软件在代码上进行了一些改变。如以往该家族样本在加密之前会结束诸如"sql"、"outlook"、"excel"、"word"等进程,而此次的勒索病毒则没有这些对进程的检测的代码。

3. 该次的勒索病毒使用了RSA+AES加密方式,其中AES密钥的生成方式并不是通过传统的随机函数等生成,而是通过CoCreateGuid函数生成全局唯一标识符,并将该标识符做为AES加密算法的secret key。

一、易被攻击目标

本次攻击者主要的突破边界手段可能为Windows远程桌面服务密码暴力破解,在进入内网后会进行多种方法获取登陆凭据并在内网横向传播。

综上,符合以下特征的机构将更容易遭到攻击者的侵害:

1. 存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。

2. 内网Windows终端、服务器使用相同或者少数几组口令。

3. Windows服务器、终端未部署或未及时更新安全加固和杀毒软件。

二、处置建议

1、 紧急处置方案

(1)避免弱口令,系统登录密码尽量采用字母大小写+数字+特殊符号混合组成,且密码位数应足够长,并在登陆安全策略里限制登录失败次数,定期更换系统登录密码。

(2)多台机器不要使用相同或相似的系统登录密码。

(3)重要资料定期隔离备份。

(4)及时更新系统漏洞并修复,更新Flash、Java、以及一系列Web服务程序的安全漏洞补丁。

(5)设置共享文件夹的权限为只读。

(6)如非必要,尽量关闭3389、445、139、135等不常用的高危端口,禁用Office宏。

(7)不要点击来源不明的网页链接,不要下载和打开来源不明的邮箱附件。

(8) SQL server和Oracle数据库密码设置复杂化,并修改默认的端口。

2、安全狗专有解决方案

由于市面上所有的杀毒软件、反病毒软件、专杀工具,基本都不是被设计用来解密被勒索的文档而仅仅是用来移除病毒及其残留的木马的,针对已经出现被勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。我们在此提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。

①病毒检测查杀

安全狗服务器EDR产品云眼具备较强的病毒检测能力,部署云垒产品体系用户可通过云眼进行病毒检测。

②RDP爆破防护

由于本次勒索病毒很可能是利用RDP暴破植入的,可以通过云眼设置RDP防暴破策略。

③端口防御策略

针对Windows用户,建议不要使用默认3389端口改为其他端口用于远程连接,降低被攻击者暴破的概率。