安全研究 SECURITY SERVICE

Globelmposter 3.0勒索病毒再次席卷全国各医院

发布时间: 2019-03-09
来源:
浏览数: 330


2019年3月9日至10日,捷普安全实验室发现Globelmposter 3.0变种再次活跃,西北地区已经有用户中招,病毒将加密后的文件重命名为xxx.*4444扩展名,其中之一为*.snake4444,并要求用户通过邮件沟通赎金跟解密密钥等。目前此次变种有呈现爆发的趋势,其中以医院居多,交大捷普紧急预警,提醒广大用户做好安全防护,警惕Globelmposter 勒索。各企业用户如需相关技术支持可联系交大捷普区域技术人员获取服务支撑。


 Globelmposter 3.0勒索病毒再次席卷全国各医院

  

【 病 毒 描述 】 


Globelmposter家族首次发现于2017年5月份。Globelmposter1.0版本的勒索软件由于其加密方式存在代码缺陷,导致被勒索的文件是可以被解密。2017年至2018年直至2019年初,Globelmposter开始从1.0版本更新到2.0版本到3.0版本,最终,开始采用RSA+AES加密方式对受害者的文件进行加密,这导致在没有解密密钥的情况下很难还原被加密的文件。传播行为从早期主要以钓鱼邮件为主要传播手法,而后逐渐演变为利用RDP爆破服务器进行人工投毒的传播。与此同时,其变种也开始逐渐增多。

本次爆发的病毒为其变种之一,初步分析为RDP爆破服务器,进入主机之后,进行人工投毒,而后进行内感染攻击。由于Globelmposter 3.0变种采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,被加密的计算机会生成一个“HOW_TO_BACK_FILES”的文件,描述了相关信息。


【病毒预警】Globelmposter 3.0勒索病毒再次席卷全国各医院


解 决 方 案  


  • 对于易感染的主机

迅速下线中毒主机,可直接切断网络连接,例如拔掉网线。


  • 对于尚未感染的主机

I、推荐使用捷普网络脆弱性智能评估系统(NVAS),进行漏洞扫描,基线检查,排查安全问题,打补丁,加固。

II、Globelmposter的变种利用RDP(远程桌面协议)进行爆破,如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用捷普下一代防火墙,全局关闭3389、445、139、135等端口或只对特定IP开放

III、当有业务要求使用RDP时,每台服务器设置唯一的强口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数为至少15位且两种组合以上。

分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • 点击次数: 5
    2023 - 01 - 19
    立即修补Zoho ManageEngine实例!CVE-2022-47966的PoC漏洞即将发布https://securityaffairs.com/140920/hacking/zoho-manageengine-flaw-poc-exploit.html 研究人员发布针对Zoho RCE关键漏洞的PoChttps://www.bleepingcomputer.com/news/security/researchers-to-release-poc-exploit-for-critical-manageengine-rce-bug-patch-now/ 70%的应用程序发布5年后,至少包含一个漏洞https://www.freebuf.com/news/355512.html 专家在四种不同的Microsoft Azure服务中发现了SSRF漏洞https://securityaffairs.com/140947/hacking/microsoft-azure-services-ssrf-flaws.html  Netcomm和TP-Link路由器中被发现严重的安全漏洞https://thehackernews.com/2023/01/critical-security-vulnerabilities.html
  • 点击次数: 4
    2023 - 01 - 17
    思科针对EoL商业路由器中未修补的漏洞发出警告https://thehackernews.com/2023/01/cisco-issues-warning-for-unpatched.html 安全公司披露可窃取用户敏感信息的谷歌Chrome浏览器高危漏洞https://www.ithome.com/0/667/914.htm Cacti服务器因未能修补大多数关键漏洞而受到攻击https://thehackernews.com/2023/01/cacti-servers-under-attack-as-majority.html 美国防部计划发起“黑掉五角大楼3.0”漏洞赏金计划https://www.secrss.com/articles/51083 CISA警告:来自制造商的影响工业控制系统的漏洞https://www.bleepingcomputer.com/news/security/hackers-exploit-cacti-critical-bug-to-install-malware-open-reverse-shells/
  • 点击次数: 4
    2023 - 01 - 13
    Twitter回应,2亿用户数据不是通过系统漏洞流出https://www.freebuf.com/articles/355054.html 微软发布2023年1月份安全更新总计修复98个漏洞http://www.anquan419.com/knews/24/4183.html CISA命令机构修补勒索软件团伙滥用的Exchange漏洞https://www.bleepingcomputer.com/news/security/cisa-orders-agencies-to-patch-exchange-bug-abused-by-ransomware-gang/ 高通骁龙通告22个安全漏洞,联想、微软和三星设备受影响https://www.freebuf.com/news/354778.html Windows Backup Service权限提升漏洞 (CVE-2023-21752) 安全通告https://www.secrss.com/articles/51001
  • 点击次数: 1
    2023 - 01 - 10
    流行开发工具CircleCI曝出严重漏洞https://www.secrss.com/articles/50792 突破太空网络安全!航天器关键技术爆严重漏洞https://www.secrss.com/articles/50880 高通发布2023年1月份安全更新修复其固件中的22个漏洞https://redqueen.tj-un.com/InfoDetails.html?id=3291dee1d61d4d919c9478846cb229a3 Zoho修复ManageEngine中SQL注入漏洞CVE-2022-47523https://redqueen.tj-un.com/InfoDetails.html?id=8da7eecdc22e4d11ad63745bdd1ccf86 高通骁龙漏洞影响联想、微软和三星设备https://securityaffairs.com/140528/security/qualcomm-snapdragon-flaws.html
  • 点击次数: 6
    2023 - 01 - 06
    奔驰、宝马等汽车品牌存在API漏洞,可能暴露车主个人信息https://www.freebuf.com/news/354346.html Synology修复VPN路由器中最大严重性漏洞https://www.bleepingcomputer.com/news/security/synology-fixes-maximum-severity-vulnerability-in-vpn-routers/ 高通发布补丁更新,修复其芯片组中多个安全漏洞https://thehackernews.com/2023/01/qualcomm-chipsets-and-lenovo-bios-get.html 2022年GreyNoise在野大规模漏洞利用报告https://www.secrss.com/articles/50719 华为鸿蒙系统去年修复近300个漏洞,超3成是高危漏洞https://www.secrss.com/articles/50707
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号

犀牛云提供云计算服务