安全研究 SECURITY SERVICE

Globelmposter 3.0勒索病毒再次席卷全国各医院

发布时间: 2019-03-09
来源:
浏览数: 338


2019年3月9日至10日,捷普安全实验室发现Globelmposter 3.0变种再次活跃,西北地区已经有用户中招,病毒将加密后的文件重命名为xxx.*4444扩展名,其中之一为*.snake4444,并要求用户通过邮件沟通赎金跟解密密钥等。目前此次变种有呈现爆发的趋势,其中以医院居多,交大捷普紧急预警,提醒广大用户做好安全防护,警惕Globelmposter 勒索。各企业用户如需相关技术支持可联系交大捷普区域技术人员获取服务支撑。


 Globelmposter 3.0勒索病毒再次席卷全国各医院

  

【 病 毒 描述 】 


Globelmposter家族首次发现于2017年5月份。Globelmposter1.0版本的勒索软件由于其加密方式存在代码缺陷,导致被勒索的文件是可以被解密。2017年至2018年直至2019年初,Globelmposter开始从1.0版本更新到2.0版本到3.0版本,最终,开始采用RSA+AES加密方式对受害者的文件进行加密,这导致在没有解密密钥的情况下很难还原被加密的文件。传播行为从早期主要以钓鱼邮件为主要传播手法,而后逐渐演变为利用RDP爆破服务器进行人工投毒的传播。与此同时,其变种也开始逐渐增多。

本次爆发的病毒为其变种之一,初步分析为RDP爆破服务器,进入主机之后,进行人工投毒,而后进行内感染攻击。由于Globelmposter 3.0变种采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,被加密的计算机会生成一个“HOW_TO_BACK_FILES”的文件,描述了相关信息。


【病毒预警】Globelmposter 3.0勒索病毒再次席卷全国各医院


解 决 方 案  


  • 对于易感染的主机

迅速下线中毒主机,可直接切断网络连接,例如拔掉网线。


  • 对于尚未感染的主机

I、推荐使用捷普网络脆弱性智能评估系统(NVAS),进行漏洞扫描,基线检查,排查安全问题,打补丁,加固。

II、Globelmposter的变种利用RDP(远程桌面协议)进行爆破,如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用捷普下一代防火墙,全局关闭3389、445、139、135等端口或只对特定IP开放

III、当有业务要求使用RDP时,每台服务器设置唯一的强口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数为至少15位且两种组合以上。

分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • Apple发布紧急更新修复3个已被在野利用的漏洞
    点击次数: 0
    2023 - 09 - 26
    用友GRP-U8SQL注入漏洞安全风险通告https://www.secrss.com/articles/59147 苹果修复了正被利用的0dayhttps://www.solidot.org/story?sid=76172 Google称Apple和Chrome漏洞被用于安装Predatorhttps://redqueen.tj-un.com/InfoDetails.html?id=446cb8bb48344c48a060ce6ebcdd99f3 Apple发布紧急更新修复3个已被在野利用的漏洞https://redqueen.tj-un.com/InfoDetails.html?id=1ccdf20916b44b518d4fefc1c62d0a75 Atlassian产品和ISCBIND服务器中发现高危漏洞https://thehackernews.com/2023/09/high-severity-flaws-uncovered-in.html
  • Nagios XI 网络监控软件曝出多个安全漏洞
    点击次数: 1
    2023 - 09 - 22
    Nagios XI 网络监控软件曝出多个安全漏洞https://www.freebuf.com/news/378735.html Apple发布紧急更新修复3个已被在野利用的漏洞https://redqueen.tj-un.com/InfoDetails.html?id=1ccdf20916b44b518d4fefc1c62d0a75 TrendMicro修复已被利用的RCE漏洞CVE-2023-41179https://redqueen.tj-un.com/InfoDetails.html?id=82eb2b61f5fe4582bd7ff3b89ab8cdce TrendMicro修复已被利用的RCE漏洞CVE-2023-41179https://redqueen.tj-un.com/InfoDetails.html?id=82eb2b61f5fe4582bd7ff3b89ab8cdce 微软披露ncurses库中的内存损坏漏洞CVE-2023-29491https://redqueen.tj-un.com/InfoDetails.html?id=bd583ecf67a641c2bba77453e3eeafbd
  • N-Able曝高危漏洞,能任意删除Windows系统文件
    点击次数: 3
    2023 - 09 - 19
    小米悬赏百万为13系列设备找漏洞https://www.freebuf.com/news/378462.html N-Able曝高危漏洞,能任意删除Windows系统文件https://www.freebuf.com/news/378432.html WindowsThemes远程代码执行漏洞(CVE-2023-38146)安全通告https://www.secrss.com/articles/58911 即将被零信任取代?企业VPN屡屡曝安全漏洞https://www.freebuf.com/news/topnews/377423.html
  • 微软发现影响Linux和macOS系统的ncurses库漏洞
    点击次数: 1
    2023 - 09 - 15
    微软发现影响Linux和macOS系统的ncurses库漏洞https://www.freebuf.com/news/378176.html 警报:新的Kubernetes漏洞可对Windows端点实施远程攻击https://www.freebuf.com/news/378035.html GitHub曝出漏洞,或导致4000多个存储库遭受劫持攻击https://www.freebuf.com/news/377948.html Mozilla紧急修补Firefox和Thunderbird中的WebP严重零日漏洞https://www.freebuf.com/articles/377938.html Adobe修复Acrobat和Reader被利用漏洞CVE-2023-26369https://redqueen.tj-un.com/InfoDetails.html?id=8541820c86ba48fa89fca707854c69fc
  • 警告!思科VPN漏洞或被勒索软件利用
    点击次数: 0
    2023 - 09 - 12
    警告!思科VPN漏洞或被勒索软件利用https://www.freebuf.com/news/377627.html 基于Win32k内核提权漏洞的攻防对抗https://www.freebuf.com/news/376388.html Google紧急更新修复Chrome中被利用漏洞CVE-2023-4863https://redqueen.tj-un.com/InfoDetails.html?id=5f51193fc42640c9af6c83e2df1b5c6d 美国一家航空机构遭到利用Zoho和Fortinet漏洞的攻击https://redqueen.tj-un.com/InfoDetails.html?id=6bd2416aabcf4b518d87f73586e72716
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号
犀牛云提供云计算服务