GlobeImposter勒索病毒再换新装,新变种更换加密文件后缀
- 2019-03-18 21:16:47
近期360安全大脑收到多例用户反馈——系统中大量文件被加密,后缀被修改成.auchentoshan。经过360安全大脑分析,该勒索病毒为GlobeImposter的一个变种,于2月底开始在国内传播,近期传播范围有扩大趋势。该变种仅更新勒索提示信息以及后缀,其功能代码与之前版本相比相似度在99%以上。
如图所示,感染该勒索病毒后,电脑中的大量文件将会被加密,并被添加后缀.auchentoshan。
加密完成后,病毒会生成勒索提示信息,并留下勒索邮箱:
auchentoshan#protonmail.com
远程桌面爆破入侵
GlobeImposter勒索家族瞄准服务器
GlobeImposter勒索病毒家族,是目前较为流行的勒索病毒,它主要通过远程桌面爆破入侵用户计算机,之后进行手动投毒。由于很多管理员为了方便,开启了服务器上的远程桌面,并设置了弱口令导致黑客有机可乘。
另外,从目前360安全大脑检测到的被攻破帐户名称中,出现频率最高的前四名依次是Administrator,Admin,kingdee和Guest,而使用常用的账户名称或弱口令登录,将面临被远程桌面爆破入侵的风险。
360安全专家介绍,服务器入侵成为了勒索病毒的重要传播方式,相比于个人电脑,服务器数据的珍贵程度和不可恢复性更强,因此向勒索者支付赎金的意愿也相对更强。就在今年年初,GlobeImposter勒索病毒就对国内多家医院发起攻击,致使医院系统瘫痪。
360安全大脑降妖有绝招
有效拦截GlobeImposter家族全系列
针对服务器的勒索攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:
1. 前往weishi.360.cn,下载并安装360安全卫士,能有效拦截GlobeImposter家族等各类勒索病毒的攻击;
2. 多台机器,不要使用相同的账号和口令,且登录口令要有足够的长度和复杂性,并定期更换。开启360安全卫士的“服务器安全防护”功能,可有效拦截这类口令爆破攻击。
3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4. 定期检测系统和软件中的安全漏洞,及时打上补丁。
5. 定期到服务器检查是否存在异常。查看范围包括:
a) 是否有新增账户
b) Guest是否被启用
c) Windows系统日志是否存在异常
d) 杀毒软件是否存在异常拦截情况