安全研究 SECURITY SERVICE

Globelmposter 3.0勒索病毒再次席卷全国各医院

发布时间: 2019-03-09
来源:
浏览数: 319


2019年3月9日至10日,捷普安全实验室发现Globelmposter 3.0变种再次活跃,西北地区已经有用户中招,病毒将加密后的文件重命名为xxx.*4444扩展名,其中之一为*.snake4444,并要求用户通过邮件沟通赎金跟解密密钥等。目前此次变种有呈现爆发的趋势,其中以医院居多,交大捷普紧急预警,提醒广大用户做好安全防护,警惕Globelmposter 勒索。各企业用户如需相关技术支持可联系交大捷普区域技术人员获取服务支撑。


 Globelmposter 3.0勒索病毒再次席卷全国各医院

  

【 病 毒 描述 】 


Globelmposter家族首次发现于2017年5月份。Globelmposter1.0版本的勒索软件由于其加密方式存在代码缺陷,导致被勒索的文件是可以被解密。2017年至2018年直至2019年初,Globelmposter开始从1.0版本更新到2.0版本到3.0版本,最终,开始采用RSA+AES加密方式对受害者的文件进行加密,这导致在没有解密密钥的情况下很难还原被加密的文件。传播行为从早期主要以钓鱼邮件为主要传播手法,而后逐渐演变为利用RDP爆破服务器进行人工投毒的传播。与此同时,其变种也开始逐渐增多。

本次爆发的病毒为其变种之一,初步分析为RDP爆破服务器,进入主机之后,进行人工投毒,而后进行内感染攻击。由于Globelmposter 3.0变种采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,被加密的计算机会生成一个“HOW_TO_BACK_FILES”的文件,描述了相关信息。


【病毒预警】Globelmposter 3.0勒索病毒再次席卷全国各医院


解 决 方 案  


  • 对于易感染的主机

迅速下线中毒主机,可直接切断网络连接,例如拔掉网线。


  • 对于尚未感染的主机

I、推荐使用捷普网络脆弱性智能评估系统(NVAS),进行漏洞扫描,基线检查,排查安全问题,打补丁,加固。

II、Globelmposter的变种利用RDP(远程桌面协议)进行爆破,如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用捷普下一代防火墙,全局关闭3389、445、139、135等端口或只对特定IP开放

III、当有业务要求使用RDP时,每台服务器设置唯一的强口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数为至少15位且两种组合以上。

分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • 点击次数: 1
    2022 - 05 - 19
    VMware修补了多个产品中的关键身份验证绕过漏洞https://www.freebuf.com/news/333590.html NVIDIA修复了Windows GPU显示驱动程序中的十个漏洞https://www.freebuf.com/news/333474.html 智能汽车曝出重大漏洞,黑客10秒开走特斯拉https://www.freebuf.com/news/333479.html 黑客利用Tatsu WordPress 插件漏洞,进行数百万次攻击https://www.freebuf.com/news/333471.html 苹果紧急更新修复入侵Mac和Watch的零日漏洞https://www.freebuf.com/news/333384.html
  • 点击次数: 1
    2022 - 05 - 16
    黑客正在利用Zyxel防火墙和VPN中的关键漏洞https://www.freebuf.com/articles/333235.html SonicWall:请立即修复SMA 1000漏洞https://www.freebuf.com/articles/333220.html 深度洞察|关于JavaScript开源生态中安全漏洞传播及其演变分析https://www.freebuf.com/vuls/331960.html LibreHealth EHR 跨站脚本漏洞 CVE-2022-29940https://redqueen.tj-un.com/IntelDetails.html?id=a310b5136b8d42bb964565ebd6648c9e F5 BIG-IP APM 输入验证错误漏洞 CVE-2022-27634https://redqueen.tj-un.com/IntelDetails.html?id=a97c7430394a4227b9492c757042f4e3
  • 点击次数: 2
    2022 - 05 - 12
    微软修复了所有Windows版本中的新NTLM零日漏洞https://netsecurity.51cto.com/article/708685.html 惠普修复了影响200多种型号的固件漏洞https://www.freebuf.com/news/332911.html F5 BIG-IP产品中关键RCE漏洞利用程序被开发https://www.freebuf.com/news/332702.html Nedi Consulting NeDi 代码注入漏洞 CVE-2021-26753https://redqueen.tj-un.com/IntelDetails.html?id=701e17cf40734beaa042ea15ff9c5599 JetBrains Hub 跨站脚本漏洞 CVE-2022-29811https://redqueen.tj-un.com/IntelDetails.html?id=c5c68042b49e4b8bb45dbc66d5010d57
  • 点击次数: 1
    2022 - 05 - 09
    QNAP修复了关键的QVR远程命令执行漏洞https://www.freebuf.com/articles/332343.html微软NetLogon特权提升漏洞(CVE-2020-1472)深度挖掘https://www.freebuf.com/vuls/332147.html 谷歌修复了积极利用的Android内核漏洞https://www.freebuf.com/articles/332228.html 数百万用户受影响,杀毒软件Avast中潜藏近10年的漏洞被披露https://www.freebuf.com/news/332215.html 渗透基础—Exchange版本探测和漏洞检测https://netsecurity.51cto.com/article/708344.html
  • 点击次数: 6
    2022 - 05 - 05
    设备接管风险警告!F5发现一个关键BIG-IP远程执行漏洞https://www.freebuf.com/news/332097.html DNS曝高危漏洞,影响数百万物联网设备https://www.freebuf.com/news/332069.html 移动发送奇怪短信?我想起了通讯行业的核弹级漏洞https://www.freebuf.com/news/331797.html Google Go 安全漏洞 CVE-2022-27536https://redqueen.tj-un.com/IntelDetails.html?id=041d1a1ee9804538aea2bc9d1ee9ca76 MISP 代码问题漏洞 CVE-2022-29528https://redqueen.tj-un.com/IntelDetails.html?id=fafdd58917a24ea6a1d7d16ee6e612dc
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号

犀牛云提供云计算服务