首页 > 防勒索者病毒

时间:2021-04-28

       GlobeImposter 勒索者病毒出现的时间较早,最开始出现于2017年4月。与那些只着眼于大规模企业的勒索者病毒不同,GlobeImposter 勒索者病毒的开发团伙近期开始袭击各种不同规模的目标企业,甚至包括一些小型企业。其目标是 Windows 操作系统平台,平均勒索赎金为$105,000(约合人民币70万元)。

 

1. GlobeImposter 攻击途径

 

       GlobeImposter 勒索软件的攻击途径主要包括:通过未受保护的远程桌面协议端口直接植入勒索软件;通过钓鱼邮件,从企业中某个成员的计算机作为入口,扩散到企业网络;或通过恶意的邮件附件、下载链接、应用补丁漏洞等潜入企业网络。

 

2. GlobeImposter 加密文件后缀

 

       到目前为止,已发现的 GlobeImposter 勒索者病毒文件后缀有如下若干种。而堂而皇之标注为“.GlobeImposter—...”后缀的勒索者病毒却并非“正宗”的 GlobeImposter 病毒家族。

 

  • .crypt,.pizdec,.FIX,.keepcalm,.vdul,.2cXpCihgsVxB3,.medal,.paycyka,.wallet
  • .3ncrypt3d,.skunk,.BRT92,.HAPP,.707,.s1crypt,.au1crypt
  • .p1crypt,.GOTHAM,.rose,.ocean,.Mixi,.725,.726,.help,.sea,.mtk118
  • .492,.astra,.coded,.txt,.ACTUM,.GRAFF,.JEEP,.BONUM,.GRANNY
  • .LEGO,.D2550A49BF52DFC23F2C013C5,.rumblegoodboy,.zuzya,.UNLIS,.0402
  • .Trump,.ReaGAN,.C8B089F,.needdecrypt
  • .write_on_email,.clinTON,.BUSH,.911,.apk,.arena,.crypted!,.DREAM
  • .suddentax,.Nutella,.emilysupp

 

       以下是被 GlobeImposter 加密的用户文件(后缀为.crypt)示例之一:

 

 

3. GlobeImposter 勒索信息文件

 

        以下是截止目前为止已知的 GlobeImposter 病毒的勒索信息文件名称:

 

  • HOW_OPEN_FILES.hta
  • how_to_recover_files.html
  • How_to_back_files.html
  • #HOW_DECRYPT_FILES#.html
  • RECOVER-FILES.html
  • !back_files!.html
  • !your_files!.html
  • here_your_files!.html
  • Read_ME.html
  • !SOS!.html

 

       以下是勒索信息文件示例之一:

 

 

4. 安全建议

 

       目前已发现多次该勒索软件感染事件。限制远程登陆设备的 IP 地址;关闭不必要的远程登陆服务等,都可有效降低被攻击者入侵的可能性。

 

  • 遵循 3-2-1 规则,创建有效的备份策略: 至少创建 3 份备份副本,保存在 2 种不同的存储介质中,至少有 1 份备份副本进行离线保存。
  • 在整个网络中采用强密码:由于 GlobeImposter 主要通过爆破远程登陆密码的方式植入,设置高复杂度远程桌面登录密码。
  • 进行网络分割,将重要流程和系统所在网络与更广泛的可访问网络分割开。
  • 对内网不同设备采用不同的登陆密码。
  • 提高组织成员对勒索病毒传播方式(即通过垃圾邮件和邮件附件)的认知并保持警惕。
  • 监控和审核网络流量,以发现任何可疑行为或异常情况。

 

5. 鸿萌易备数据备份软件:专为中小企业打造,提供主动防勒索病毒的保护机制

       鸿萌易备数据备份软件是一款简单高效轻量型的软件,为个人计算机及服务器提供全方位的保护方案。主要用于进行 Windows 系统中的数据备份任务,可满足各种数据备份需求:系统备份、数据库备份、虚拟机备份、Exchange 邮件服务器备份、磁带备份等。

 

       鸿萌易备数据备份软件提供多种安全防护机制,除了军用级别的 AES 256 位加密之外,还提供强效的主动防勒索者病毒的保护机制,为用户数据构筑坚固的安全防护盾牌。

 

       易备支持同时向多个目标位置同时拷贝多个备份副本。支持如下目标存储设备:本地硬盘、移动硬盘、NAS、磁带、云存储服务等。异地存储是保障备份文件安全的强有效方式。