安全研究 SECURITY SERVICE

Globelmposter 3.0勒索病毒再次席卷全国各医院

发布时间: 2019-03-09
来源:
浏览数: 339


2019年3月9日至10日,捷普安全实验室发现Globelmposter 3.0变种再次活跃,西北地区已经有用户中招,病毒将加密后的文件重命名为xxx.*4444扩展名,其中之一为*.snake4444,并要求用户通过邮件沟通赎金跟解密密钥等。目前此次变种有呈现爆发的趋势,其中以医院居多,交大捷普紧急预警,提醒广大用户做好安全防护,警惕Globelmposter 勒索。各企业用户如需相关技术支持可联系交大捷普区域技术人员获取服务支撑。


 Globelmposter 3.0勒索病毒再次席卷全国各医院

  

【 病 毒 描述 】 


Globelmposter家族首次发现于2017年5月份。Globelmposter1.0版本的勒索软件由于其加密方式存在代码缺陷,导致被勒索的文件是可以被解密。2017年至2018年直至2019年初,Globelmposter开始从1.0版本更新到2.0版本到3.0版本,最终,开始采用RSA+AES加密方式对受害者的文件进行加密,这导致在没有解密密钥的情况下很难还原被加密的文件。传播行为从早期主要以钓鱼邮件为主要传播手法,而后逐渐演变为利用RDP爆破服务器进行人工投毒的传播。与此同时,其变种也开始逐渐增多。

本次爆发的病毒为其变种之一,初步分析为RDP爆破服务器,进入主机之后,进行人工投毒,而后进行内感染攻击。由于Globelmposter 3.0变种采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,被加密的计算机会生成一个“HOW_TO_BACK_FILES”的文件,描述了相关信息。


【病毒预警】Globelmposter 3.0勒索病毒再次席卷全国各医院


解 决 方 案  


  • 对于易感染的主机

迅速下线中毒主机,可直接切断网络连接,例如拔掉网线。


  • 对于尚未感染的主机

I、推荐使用捷普网络脆弱性智能评估系统(NVAS),进行漏洞扫描,基线检查,排查安全问题,打补丁,加固。

II、Globelmposter的变种利用RDP(远程桌面协议)进行爆破,如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用捷普下一代防火墙,全局关闭3389、445、139、135等端口或只对特定IP开放

III、当有业务要求使用RDP时,每台服务器设置唯一的强口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数为至少15位且两种组合以上。

分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • 点击次数: 10
    2024 - 05 - 17
    Google Fuchsia存在关键资源的权限授予不正确漏洞 https://www.cve.org/CVERecord?id=CVE-2021-22566 Netapp等厂商的多款产品存在内存缓冲区边界内操作的限制不恰当漏洞 https://www.auscert.org.au/bulletins/ESB-2021.2691 Prefect存在跨站请求伪造漏洞 https://www.cve.org/CVERecord?id=CVE-2023-6022 用友网络科技股份有限公司U8 Cloud存在SQL注入漏洞 https://security.yonyou.com/#/noticeInfo?id=520 Webkitgtk等厂商的多款产品存在漏洞 https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202101-2438
  • 点击次数: 11
    2024 - 05 - 13
    SUBNET Substation Server漏洞预警https://www.cisa.gov/news-events/ics-advisories/icsa-24-128-02 PTC Codebeamer漏洞预警https://www.cisa.gov/news-events/ics-advisories/icsa-24-128-017-zip存在特权管理不恰当漏洞https://www.cnvd.org.cn/flaw/show/CNVD-2018-09648Totolink多款产品存在漏洞https://cxsecurity.com/cveshow/CVE-2023-51026/Nvidia多款产品存在关键资源的权限授予不正确漏洞https://nvd.nist.gov/vuln/detail/CVE-2022-21819
  • 点击次数: 16
    2024 - 05 - 08
    PTC Codebeamer漏洞预警 https://www.cisa.gov/news-events/ics-advisories/icsa-24-128-01 SUBNET Substation Server漏洞预警 https://www.cisa.gov/news-events/ics-advisories/icsa-24-128-02 Pytest Py存在低效的正则表达式复杂性漏洞 https://cxsecurity.com/cveshow/CVE-2022-42969/ Tp-link多款产品存在漏洞 https://www.dmi.unict.it/giamp/smartbulbscanbehackedtohackintoyourhousehold/ Apple多款产品存在漏洞 https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202403-3045
  • 点击次数: 12
    2024 - 05 - 06
    Perl等厂商的多款产品存在跨界内存写漏洞https://access.redhat.com/security/cve/cve-2023-47038Quarkus等厂商的多款产品存在授权机制不正确漏洞https://cxsecurity.com/cveshow/CVE-2023-4853/Qemu等厂商的多款产品存在不恰当的同步机制漏洞https://lists.gnu.org/archive/html/qemu-devel/2023-08/msg03883.htmlX.org等厂商的多款产品存在跨界内存写漏洞https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202310-2162Redhat多款产品存在资源分配缺少限制或调节漏洞https://bugzilla.redhat.com/show_bug.cgi?id=2242099
  • 点击次数: 12
    2024 - 04 - 29
    Google Chrome存在内存缓冲区边界内操作的限制不恰当漏洞 https://issues.chromium.org/issues/330760873 Redaxo存在代码注入漏洞 https://github.com/evildrummer/MyOwnCVEs/tree/main/CVE-2021-39459 Oracle等厂商的多款产品存在漏洞 http://www.youtube.com/watch?v=1U0Saabf3nA Apache Derby存在注入漏洞 https://lists.apache.org/thread/q23kvvtoohgzwybxpwozmvvk17rp0td3 Frrouting存在安全漏洞 https://github.com/FRRouting/frr/pull/14716/commits/c37119df45bbf4ef713bc10475af2ee06e12f3bf
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号

犀牛云提供云计算服务