GlobeImposter勒索病毒 防護方案

日期：2018-08-30 10:58:45 投稿人：

1 事件描述

近日，比特豹戰(zhàn)略合作伙伴亞信安全網(wǎng)絡(luò)監(jiān)測實驗室監(jiān)測到大量GlobeImposter勒索病毒變種在我國法院行業(yè)傳播，并呈現(xiàn)爆發(fā)的趨勢。早在今年2月該勒索病毒曾對國內(nèi)多數(shù)企事業(yè)單位發(fā)動過攻擊，時隔半年，該病毒變種后再次爆發(fā)。此次勒索病毒變種繁多，因此被加密后的文件擴展名也各不相同，其包括.ALCO、ALC02、ALC03和RESERVE等。本次截獲的GlobeImposter勒索病毒變種主要攻擊開啟遠程桌面服務(wù)的服務(wù)器，通過RDP弱口令暴力破解方式進行傳播，亞信安全已經(jīng)可以檢測該勒索病毒，并將其命名為Ransom_FAKEGLOBE.SMB。

1.1病毒技術(shù)細節(jié)分析

該病毒在被感染系統(tǒng)中生成如下自身拷貝文件：

%AppDataLocal%\{Malware Name}.exe

在系統(tǒng)目錄中生成如下文件：

%SystemRoot%\Users\Public\B26A340109A0081ADF57D63647533B8681DC0B8E159BE052385ED4024E9CFFBC

為達到自啟動目的，該病毒添加如下注冊表鍵值：

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
BrowserUpdateCheck = %Application Data%\{Malware name}.exe

被加密后的文件擴展名為：

ALCO

其會在加密文件路徑下，生成如下勒索提示信息文件：

how_to_back_files.html

生成的勒索提示文件，主要包括受害者個人的ID序列號和勒索者的聯(lián)系方式：

2 應(yīng)急防護措施

由于Globelmposter變種采用RSA2048算法加密，目前該勒索病毒加密的文件無法解密，用戶要時刻警惕該病毒，做好預(yù)防工作。

不要點擊來源不明的郵件以及附件；

及時升級系統(tǒng)，打全系統(tǒng)補丁（MS10-046\MS17-010）；

盡量關(guān)閉不必要的文件共享權(quán)限和不必要的端口（例如：139、445、3389）；

設(shè)置高強度的系統(tǒng)賬號密碼；

請注意備份重要文檔，備份的最佳做法是采取3-2-1規(guī)則，即至少做三個副本，用兩種不同格式保存，并將副本放在異地存儲。

3 防護方案

3.1 桌面終端勒索軟件防護方案

通過在桌面終端上部署亞信安全桌面防病毒軟件OfficeScan，完成桌面端在未打補丁的情況下實現(xiàn)多層次的對勒索軟件威脅的防御。

（1）病毒碼防護

比特豹合作伙伴亞信安全在勒索軟件事件爆發(fā)后的第一時間更新了病毒特征庫，實現(xiàn)對勒索軟件的查殺。

（2）行為監(jiān)控攔截

亞信安全桌面防病毒軟件OfficeScan的行為監(jiān)控模塊，具有異常加密功能防御功能，可實現(xiàn)不依賴病毒碼和補丁的情況下，也能抵御勒索軟件的能力。開啟勒索軟件監(jiān)控功能后，鞏固了對已知和未知變種勒索病毒的防御能力。

（3）爆發(fā)阻止防御

OfficeScan產(chǎn)品具備病毒爆發(fā)防御功能，當勒索病毒爆發(fā)時，檢測到病毒和共享文件夾會話超出設(shè)置閾值時，可在病毒代碼未完成擴散之前自動對網(wǎng)絡(luò)中的病毒傳播途徑進行控制。

通過集中封閉445端口,拒絕勒索軟件相關(guān)文件的寫入控制，快速實現(xiàn)勒索軟件威脅擴散的有效防御，第一時間完成防御體系的建設(shè)。

3.2 業(yè)務(wù)服務(wù)器勒索軟件防護方案

在內(nèi)外網(wǎng)windows和Linux系統(tǒng)集中部署亞信安全服務(wù)器深度威脅安全防護軟件Deep Security，在無法快速安裝系統(tǒng)補丁的情況下，快速的完成了三層威脅的防護。

（1）病毒庫防護

亞信安全在勒索軟件事件爆發(fā)后的第一時間更新了產(chǎn)品的病毒特征庫，實現(xiàn)對勒索軟件的查殺。

（2）訪問控制防護

利用產(chǎn)品的防火墻功能對445端口進行限制，阻斷勒索軟件傳播的途徑。也有效的攔截了威脅在終端間的橫向擴散感染。

（3）虛擬補丁防護。

遭遇突發(fā)的威脅事件，在未經(jīng)測試的情況下，為業(yè)務(wù)服務(wù)器安裝系統(tǒng)補丁極易對業(yè)務(wù)系統(tǒng)的正常運行造成影響，亞信安全Deep Security系統(tǒng)的虛擬補丁功能可實現(xiàn)在不安裝系統(tǒng)補丁的情況下，利用在系統(tǒng)外面構(gòu)建防御層，對勒索軟件利用的漏洞數(shù)據(jù)包進行攔截，實現(xiàn)勒索事件威脅防御的快速響應(yīng)。

3.2 網(wǎng)絡(luò)勒索軟件防護方案

在各個網(wǎng)絡(luò)核心層次交換機上部署威脅發(fā)現(xiàn)設(shè)備（Threat Discovery Appliance-簡稱TDA）執(zhí)行綜合的全面覆蓋，監(jiān)控勒索病毒網(wǎng)絡(luò)傳播活動并精準定位，配合采用全新一代高級威脅防護引擎的深度威脅安全網(wǎng)關(guān)（Deep Edge），可以在網(wǎng)絡(luò)邊界位置阻斷勒索病毒。

（1）基于網(wǎng)絡(luò)內(nèi)容檢測技術(shù)的分析

支持從網(wǎng)絡(luò)層至應(yīng)用層的多種綜合協(xié)議網(wǎng)絡(luò)流量檢測，檢測企圖傳播或傳染其它用戶的惡意軟件，確定相關(guān)事件的可疑威脅。

（2）APT偵測及防護

借助TDA的高級未知威脅掃描引擎，Deep Edge可以偵測APT攻擊所使用的高度定制化惡意程序、URL、IP及域等可疑威脅對象，從而實現(xiàn)針對可疑APT對象，尤其是未批露漏洞或零日漏洞的偵測、分析、識別以及攔截。

（3）虛擬補丁技術(shù)

Deep Edge使用虛擬補丁技術(shù)以及基于深度數(shù)據(jù)包檢測的主動式主機入侵防御系統(tǒng)，以提供深度防護和合規(guī)性支持，屏蔽已知漏洞以防止其被無限制利用，全面防止拒絕服務(wù)攻擊（DoS）及端口掃描以減少攻擊層面，進而防止已知攻擊和零日攻擊的入侵。