关于近期医院感染勒索病毒情况的通报

释放双眼,带上耳机,听听看~!

走近卡巴斯基(三)

前     言 杀毒软件市场硝烟四起,很多免费产品的出现,让大家忘记了杀毒软件的本质是什么,很多人更关注的是谁更便宜,而不是谁更安全。近期很多人被勒索病毒感染,这些人的电脑上大多安装的有杀毒软件,有一个中过毒的客户感慨说:原来免费的才是最贵的。

近日,朋友圈被GlobeImposterV3.0的文章刷屏了,各厂商也都讲自己的软件可以查杀。那么为什么还会被感染和加密呢?因为这次攻击并不是因为杀毒软件的问题。

我们从1月底开始也陆续遇到好几起该病毒的感染报告,经过我们技术人员的现场取证分析,了解了完整的攻击过程,现将攻击过程还原。希望大家能了解攻击过程,有利于布置合理的防范手段。


未知攻,焉能防。

一、病毒介绍

自1月底开始,省内有几家医院和单位被勒索病毒感染,经过我们技术人员去现场取证分析,证实为GlobeImposterV3.0的变种,相较之前版本,该版本对RSA公钥和加密文件后缀采用了加密处理,且将加密文件的后缀改成.动物名称+4444的样子,如:.Horse4444,.tiger4444等,还会将中招用户的ID信息保存在C:\Users\public\路径下,文件名是其对应RSA公钥的SHA256的值。当加密完成后,清除远程桌面登录信息,并自我删除。

该类敲诈者病毒主要的传播方式是扫描渗透配合远程桌面登录爆破的方式进行传播,如果重要文件被加密了,根本没办法解密。攻击者在进入内网后,利用黑客工具进行内网渗透并选择高价值目标服务器进行人工投放勒索病毒。

目前,大部分杀毒软件均可以正常查杀该病毒。

二、病毒情况描述

中毒之后,会发现类似于下图的症状:

 

同时会在桌面和每个被感染过的文件夹下生成一个HOW_TO_BACK_FILES.txt文件,类似以下内容:

 

最终该病毒将引导受害者通过邮件与勒索者进行联系,要求受害者将被加密的图片或文档发送到指定的邮箱进行付费解密。

三、风险等级

风险等级:高危,黑客首先会入侵企业内网,之后再通过暴力破解RDP和SMB服务在内网继续扩散。除个别文件夹外,都被加密,除非得到密钥,受损文件无法解密还原。

四、 攻击方式

经过技术人员分析,大部分杀毒软件均可以正常查杀该病毒,但之所以造成这么大的危害,更主要的原因并不是杀毒软件,而是一系列的入侵过程,通过对几个被感染用户的分析,发现攻击过程如下 :

1、 黑客采用弱口令或钓鱼等方式攻破一台外网电脑(工作站或服务器)。

2、 在该电脑上上传相应的黑客工具。

3、 利用局域网扫描工具,扫描活动的主机,然后通过端口扫描工具扫描哪些机器开放3389端口。

4、 利用mimikatz.exe扫描本机的所有账户机器密码。如果被攻破的机器为域管理员机器,那么整个域中的所有机器将沦陷。

5、 将本机破解出来的密码加入密码字典,再利用远程登录桌面爆破工具如NLBrute.exe依次爆破局域网开放3389端口的机器。

6、 重复以上步骤,从而选择高价值目标服务器。

7、 如果没有杀毒软件,直接投放勒索病毒,如果有杀毒软件,使用各种手段退出杀毒软件。然后人工投放勒索病毒,在注册表加载病毒自动运行。

8、 清除日志和系统卷影。

附图:

1、尝试登录破解密码:

 

2、在客户端发现的黑客上传的工具:

 

3、使用mimikatz扫描破管理员密码,并将之添加到密码字典:

 

破解的用户口令,以及加入用户密码后的密码字典(局部)

 

 

4、使用端口扫描工具,发现开放3389端口的主机及扫描结果:

 

 

5、使用RDP口令爆破工具进行口令爆破以及爆破后的结果(经用户同意密码和IP地址已做技术处理)。

手把手教你用Acronis True Image恢复电脑

前段时间给自己的YOGA升级,换了固态硬盘。可能是因为非原厂固态硬盘存在稳定性问题,总是无缘无故蓝屏。谁曾想到昨天竟然连系统都进不去了。     好在之前换固态硬盘后,有用Acronis True Image给电脑做过备份,就想到再用Acronis True Image还原系统。下面

 

 

6、植入病毒,加密成功。

 

7、执行脚本清除痕迹和系统卷影副本:

 

五、安全建议

  1. 内外网隔离,最近发现的几例都是内外网混用,黑客攻破一台连接外网的电脑,以其为跳板对内网进行扫描和口令爆破,进而攻入服务器的。无法完全隔离的要增加防火墙,并设置安全访问策略,不仅要限制来自互联网的访问,也要限制内部电脑对服务器的访问。

  2. 关闭不必要的端口,尤其是3389,如果确实需要开启远程桌面,建议修改默认的端口,或者通过防火墙设置只允许指定的IP访问。防火墙设置请咨询设备厂商,或参考《防黑必备技能之端口篇(3)

  3.  全网安装专业的反病毒软件,并做到及时更新。为防止黑客关闭杀毒软件,一定要设置防病毒软件的退出密码,且不能和系统登录密码一样。建议开启防病毒的主动防御和自我保护功能。

  4. 部署流量监控/阻断类设备/软件,并开启防火墙、IPS、杀毒软件等网络安全设备的日志记录,便于事前发现,事中阻断和事后回溯。管理员要定时查看日志,及时对日志有风险的操作进行处理。

  5. 及时更新系统补丁,对于其他原因不能及时安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问控制策略,以保证网络的动态安全。

  6. 建议对于存在弱口令的系统,需在加强使用者安全意识的前提下,督促其修改密码,或者使用策略来强制限制密码长度和复杂性。而且避免所有的服务器采用同样的密码。详见《这一步做好,能减少一半被勒索的机会

  7. 在一些关键服务上(如数据库服务),应加强口令强度,同时需使用加密传输方式,对于一些可关闭的服务来说,建议关闭不要的服务端口以达到安全目的。不使用相同口令管理多台关键服务器。

  8. 建议对账户密码策略建议进行配置,对最大错误登录次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。

  9. 建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞。

  10. 备份,是数据安全的最后一道防线。所以,一定要做好备份工作,并定期做好恢复演练,以验证备份数据的可用性。建议至少每天一次数据的离线备份。

总结:对于勒索病毒防范是一个系统工程,并不是仅仅依靠杀毒软件就可以解决,查病毒很容易,但要避免被勒索,就要从多个方面着手,构建全方位的安全体系,同时增强安全意识(比如设置强口令等)。既要做好防的措施,又要做好万一防不住的准备。两手都要有,两手都要强。

如果您不幸被勒索,不要急于恢复和重建系统,一定要先进行分析取证工作,了解被病毒感染的原因,以便做好防范,避免遭受二次伤害。

延伸阅读:

这一步做好,能减少一半被勒索的机会

这是一篇价值几十万的文章!

注意:新一轮勒索病毒攻击医院行业

勒索病毒和恶意软件最容易藏身的五个地方

注意:GandCrab勒索病毒出现5.0.3版本

号称完美破解GandCrab勒索病毒的某厂商,你真的不会脸红吗?

来看看你被勒索病毒加密的文件是否可解

又双叒叕一家单位被勒索了!

一场由密码引发的惨案!

难道这就是近期医院屡受攻击的原因?

小心,一大波病毒来袭!!

聊聊关于勒索病毒那些事!

关于勒索病毒,你需要知道的几个问题!

永恒之蓝勒索病毒完整解决方案

浅谈虚拟化平台的防病毒保护

等保中对灾难恢复的要求

有了双活,真的就确保安全了吗?

欢迎扫描二维码关注:大兵说安全

您的打赏是我前进的动力!

本文源自微信公众号:大兵说安全

灾难恢复能力国家标准等级介绍

2007年7月,国务院信息化工作办公室领导编制的《重要信息系统灾难恢复指南》正式升级成为国家标准《信息系统灾难恢复规范》(GB/T 20988-2007 )。这是中国灾难备份与数据恢复行业的第一个国家标准,并于2007年11月1日开始正式实施。 《信息系统灾难恢复规范

人已赞赏
安全工具

数据备份与灾难恢复

2019-10-14 17:33:14

安全工具

走近卡巴斯基(三)

2019-10-14 17:33:20

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索