变种来了！加强版GlobeImposter勒索病毒来袭

      近日，亚信安全网络监测实验室监测到大量GlobeImposter勒索病毒在我国传播，此次勒索病毒变种繁多，被加密后的文件扩展名也各不相同，包括.crypted!、.doc和.TRUE等。GlobeImposter勒索病毒主要是通过垃圾邮件进行传播，与以往不同的是，此次变种会通过邮件来告知受害者付款方式，勒索赎金从1到10比特币不等。亚信安全相关产品已经可以检测GlobeImposter家族，并将其命名为RANSOM_FAKEGLOBE。

亚信安全详解病毒技术细节

      Globelmposter家族首次出现时间为2017年5月，近日再次活跃，并有大量变种来袭。亚信安全已经拦截该家族的最新变种，将其命名为RANSOM_FAKEGLOBE.THAOLAH。

该病毒在被感染系统中生成如下自身拷贝文件：

•   %Application Data%\{ Malware name }.exe

为达到自启动目的，该病毒添加如下注册表键值：

•   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 

BrowserUpdateCheck = %Application Data%\{Malware name}.exe

该病毒避免加密文件名中含有下列字符串的文件：

•   {Malware name }

•   how_to_back_files.html

•   {GUID}


该病毒避免加密下列文件夹中的文件：

•   Windows

•   Microsoft

•   Microsoft Help

•   Windows App Certification Kit

•   Windows Defender

•   ESET

•   COMODO

•   Windows NT

•   Windows Kits

•   Windows Mail

•   Windows Media Player

•   Windows Multimedia Platform

•   Windows PhoneKits

•   Windows Phone Silverlight Kits

•   Windows Photo Viewer

•   WindowsPortable Devices

•   Windows Sidebar

•   WindowsPowerShell

•   NVIDIA Corporation

•   Microsoft.NET

•   Internet Explorer

•   Kaspersky Lab

•   McAfee

•   Avira

•   spytech software

•   Sysconfig

•   Avast

•   Dr.Web

•   Symantec

•   Symantec_Client_Security

•   system volume information

•   AVG

•   Microsoft Shared

•   Common Files

•   Outlook Express

•   Movie Maker

•   Chrome

•   Mozilla Firefox

•   Opera

•   YandexBrowser

•   Ntldr

•   Wsus

•   ProgramData

被加密后的文件扩展名为：

•   crypted!

其会在加密文件路径下，生成如下勒索提示信息文件：

•   how_to_back_files.html

生成的勒索提示文件，主要包括受害者个人的ID序列号和勒索者的联系方式：

亚信安全教你如何防范

      勒索病毒不可能在短期内消失，网络犯罪分子采取的战术策略也在演变，其攻击方式更加多样化。对于勒索病毒的变种，亚信安全建议用户可以通过部署防火墙、邮件网关等产品作为第一道防线，行为监控和漏洞防护产品则可以有效阻止威胁到达客户端。具体防范措施如下：

•      不要点击来源不明的邮件以及附件；

•      及时升级系统，打全系统补丁；

•      尽量关闭不必要的文件共享权限和不必要的端口；

•      请注意备份重要文档。备份的最佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储；

•      亚信安全病毒码版本13.992.60 ，云病毒码版本13.992.71，全球码版本13.991.00已经可以检测到该病毒，请用户及时升级病毒码版本；

•      亚信安全终端安全产品OfficeScan具有勒索病毒防御功能（AEGIS），可以有效阻拦勒索病毒对用户文件加密；

•      亚信安全邮件安全网关产品，可以有效拦截勒索病毒邮件，做到在源头上进行阻断拦截。

标签： 安全 防火墙 漏洞 权限 网络 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。