<li id="h3mjd"></li>
    <dl id="h3mjd"><font id="h3mjd"><strong id="h3mjd"></strong></font></dl>
    <input id="h3mjd"><font id="h3mjd"><td id="h3mjd"></td></font></input>

            1. <dl id="h3mjd"></dl>

                    1. <li id="h3mjd"><ins id="h3mjd"><thead id="h3mjd"></thead></ins></li>
                      1. Top
                        首頁 > IT產品和服務 > 第一資訊 > 正文

                        GlobeImposter勒索病毒再度來襲?莫慌,浪潮SSR為你保駕護航

                        浪潮SSR安全技術團隊在第一時間針對GlobeImposter傳播和感染的原理,在SSR5.0版本中進行了防護效果驗證。目前,SSR5.0版本的主動防御功能和應用程序管控功能均有較好的防護效果。
                        發布時間:2018-09-21 23:11        來源:賽迪網        作者:

                        近期,國家計算機網絡應急技術處理協調中心廣東分中心發布GlobeImposter勒索病毒家族傳播預警,預警報告中指出GlobeImposter正在利用RDP(遠程桌面協議)遠程爆破等方式突破企業邊界防御,再進一步進行內網滲透感染高價值服務器并加密文件。目前,多數據中心遭受到此病毒攻擊受到影響。

                        浪潮SSR安全技術團隊在第一時間針對GlobeImposter傳播和感染的原理,在SSR5.0版本中進行了防護效果驗證。目前,SSR5.0版本的主動防御功能和應用程序管控功能均有較好的防護效果。

                        新病毒采用更強加密算法,無秘鑰文件無法恢復

                        本次爆發的GlobeImposter勒索病毒,采用RSA和AES兩種加密算法的結合,加密磁盤文件并將后綴名篡改為.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.RESERVE等。現已確認,在沒有病毒作者私鑰的情況下無法恢復被加密的文件。最終該病毒將引導受害者通過郵件與勒索者進行聯系,要求受害者將被加密的圖片或文檔發送到指定的郵箱進行付費解密。

                        勒索軟件在加密文件的同時創建了勒索信息文件how_to_back_files.html,要求受害者將一個加密的圖片或文檔發送到指定的郵箱,由于加密的文件末尾包含個人ID,攻擊者可以通過個人ID及其手中的RSA私鑰解出用以解密文件的私鑰,這樣就可以識別不同的受害者。攻擊者會給出解密后的文件及解密所有文件的價格,在受害者付款后,攻擊者會發送解密程序。

                        浪潮SSR可有效防護GlobeImposter勒索病毒

                        浪潮安全團隊采用SSR5.0版本對GlobeImposter樣本進行防護對比驗證。驗證環境中部署了三臺Win7操作系統的服務器,其中服務器A不安裝SSR,服務器B安裝SSR并開啟主動防護功能,服務器C安裝SSR并開啟應用程序管控功能。三臺設備配置信息如下表所示:

                        驗證設備配置信息

                        1、服務器A中執行GlobeImposter樣本

                        因服務器A中未部署SSR客戶端,在執行GlobeImposter樣本后,原文本文件test1.txt被加密,并將后綴名修改為.doc。此外,因文本文件text2.txt為空,根據GlobeImposter文件加密過濾規則,將不對空文件進行加密,即下圖所示text2.txt并未被加密。

                        在被加密文件的目錄(此處截圖為桌面)生成勒索文件信息Read_ME.html,用于用戶支付贖金接口。

                        未部署SSR的服務器A遭受GlobeImposter攻擊

                        2、服務器B中執行GlobeImposter樣本

                        服務器B部署SSR客戶端,并開啟了主動防御功能,其他功能暫不開啟,主要驗證主動防御功能是否可阻止GlobeImposter發作。

                        在服務器B中執行GlobeImposter樣本,暫時未發現異常。查看任務管理器,發現GlobeImposter.exe已經執行,但桌面上的text.txt被未被加密,也未產生生成勒索文件信息Read_ME.html。

                        GlobeImposter.exe樣本在服務器B中執行情況

                        SSR集中管理平臺中主動防御功能監控界面的攔截日志顯示,SSR主動防御功能攔截了GlobeImposter.exe在temp目錄中創建system.dll文件(勒索軟件的變種不同,釋放的dll可能不同)。這主要是因為主動防御功能內置了相應的安全策略——禁止在系統目錄C盤中創新任何dll動態庫,該策略可阻止勒索軟件啟動時在系統目錄釋放可執行文件和動態庫,防止其后續的加密操作。

                        SSR主動防御功能攔截system.dll創建日志

                        此外,SSR主動防御功能還內置多種安全策略,可阻止非授權在系統目錄中創建如exe、dll、com、sys等后綴的可執行文件,保證系統不被惡意代碼攻擊。如果客戶服務器除了C盤還有其他盤,建議配合應用程序管控一起使用,這將有更好的防護效果。

                        3、服務器C中執行GlobeImposter樣本

                        服務器C部署SSR客戶端,并開啟了應用程序管控功能(軟件白名單),其他功能暫不開啟,主要驗證應用程序管控功能是否可阻止GlobeImposter發作。

                        在執行GlobeImposter前,已經對服務器C進行白名單采集。在服務器C中執行GlobeImposter樣本后,系統直接彈出該程序無法執行的提示。

                        GlobeImposter.exe樣本在服務器C中執行情況

                        打開SSR集中管理平臺中應用程序管控功能監控界面,從程序運行狀態中可以發現GlobeImposter.exe的信任級別為未知,在正常運行模式下,如果應用程序管控功能識別到程序為未知或黑名單,SSR將直接阻止程序的執行,如果識別為白名單或灰名單,程序將可以執行。從程序管控事件中可以看出出,SSR應用程序管控功能阻止了GlobeImposter.exe樣本的執行。

                        SSR應用程序管控攔截GlobeImposter.exe啟動操作

                        從GlobeImposter傳播和感染的原理,以及實際驗證的情況來看,SSR5.0版本主動防御功能和應用程序管控功能均有較好的防護效果。針對GlobeImposter發作的各個階段,SSR提供了多維度的防護功能。

                        SSR相應功能防護說明

                        防護勒索病毒,浪潮安全專家支招

                        對于近期泛濫的GlobeImposter勒索病毒家族,浪潮安全專家給出了有效防護的建議:

                        1. 避免在服務器中使用過于簡單的口令。登錄口令盡量采用大小寫字母、數字、特殊符號混用的組合方式,并且保持口令由足夠的長度。同時添加限制登錄失敗次數的安全策略并定期更換登錄口令。

                        2. 多臺機器不要使用相同或類似的登錄口令,以免出現"一臺淪陷,全網癱瘓"的慘狀。

                        3. 重要資料一定要定期隔離備份。此處尤其注意隔離,在以往的反饋案例中從來不乏確有備份,但由于在同一網絡內,導致備份服務器一同被加密的情況。

                        4. 及時修補系統漏洞,同時不要忽略各種常用服務的安全補丁。

                        5. 關閉非必要的服務和端口如135、139、445、3389等高危端口。

                        6. 嚴格控制共享文件夾權限,在需要共享數據的部分,盡可能的多采取云協作的方式。

                        7. 提高安全意識,不隨意點擊陌生鏈接、來源不明的郵件附件、陌生人通過即時通訊軟件發送的文件,在點擊或運行前進行安全掃描,盡量從安全可信的渠道下載和安裝軟件。

                        專題訪談

                        合作站點
                        stat
                        新疆体彩十一选五