[安全事件预警通报]GlobeImposter最新变种勒索病毒预警通报

释放双眼,带上耳机,听听看~!

点击上方“凌天实验室”可订阅哦!

GlobeImposter最新变种勒索病毒公告通报

                                             

发布时间:2019-03-13

通报编号:AB-I-OS-10001

CVE编号: N/A

安全等级:紧急☆



一.  类型



操作系统和网络



二.  概要描述



据国家网络与信息安全信息通报中心监测发现,2019年3月11日起,境外某黑客组织对我国有关政府部门开展勒索病毒邮件攻击。邮件主题为“你必须在3月11日下午3点向警察局报到!”,发件人名为“Min,Gap Ryong”,邮件附件名为“03-11-19.rar”。经分析研判,该勒索病毒版本号为GANDCRAB V5.2,是2019年2月最新升级的勒索病毒版本,运行后将对用户主机硬盘数据全盘加密,并让受害用户访问网址“https://www.torproject.org/”下载Tor浏览器,随后通过Tor浏览器登录攻击者的数字货币支付窗口http://gandcrabmfe6mnef.onion/1812a265c3857fa,要求受害用户缴纳赎金。目前,我国部分政府部门邮箱已遭到攻击。




三.  危害



被感染后的主机或电脑,所有磁盘文件被加密。




四.  攻击手段



经分析,该病毒的主要攻击步骤如下:

第一步对服务器进行渗透,黑客通过弱口令爆破、端口扫描等攻击手法,利用3389等远程登陆开放端口,使用自动化攻击脚本,用密码字典暴力破解管理员账号。

第二步对内网其他机器进行渗透,攻击者在打开内网突破口后,会在内网对其他主机进行口令爆破,利用网络嗅探、多协议爆破等工具实施爆破。

第三步植入勒索病毒,在内网横向移动至一台新的主机后,会尝试进行手动或用工具卸载主机上安装的防护软件,手动植入勒索病毒。

第四步运行病毒,病毒自动执行程序,对电脑内文件进行加密,完成病毒攻击过程。




五.  防范措施



1、不要打开来历不明的邮件附件;

2、及时安装主流杀毒软件,升级病毒库,对相关系统进行全面扫描查杀;

3、及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播;

4、严格控制端口管理,尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389;建议关闭远程桌面协议。

5、对已感染主机或服务器采取断网措施,防止病毒扩散蔓延。

6、加强应急处置,加强监测以及开展24小时应急值守,进一步完善本单位网络与信息系统突发事件应急预案,确保突发事件应急响应及时、规范、有效。

7、及时上报事件,突出情况及时向网络与信息安全信息通报中心以及属地公安机关网安部门报告。


凌天
实验室

凌天实验室,是安百科技旗下针对应用安全领域进行攻防研究的专业技术团队,其核心成员来自原乌云创始团队及社区知名白帽子,团队专业性强、技术层次高且富有实战经验。实验室成立于2016年,发展至今团队成员已达35人,在应用安全领域深耕不辍,向网络安全行业顶尖水平攻防技术团队的方向夯实迈进。

本文源自微信公众号:凌天实验室

人已赞赏
安全工具

端口复用后门

2019-10-14 14:04:18

安全工具

加密攻击稳步增长,网络犯罪分子瞄准非标准端口

2019-10-14 14:04:24

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索