变种来了!加强版GlobeImposter勒索病毒来袭,附全面防范攻略

变种来了!加强版GlobeImposter勒索病毒来袭,附全面防范攻略

逆向破解访客2021-10-11 18:52:008734A+A-

近日,亚信安全网络监测实验室监测到大量GlobeImposter勒索病毒在我国传播,此次勒索病毒变种繁多,被加密后的文件扩展名也各不相同,包括.crypted!、.doc和.TRUE等。GlobeImposter勒索病毒主要是通过垃圾邮件进行传播,与以往不同的是,此次变种会通过邮件来告知受害者付款方式,勒索赎金从1到10比特币不等。亚信安全相关产品已经可以检测GlobeImposter家族,并将其命名为RANSOM_FAKEGLOBE。

亚信安全详解病毒技术细节

Globelmposter家族首次出现时间为2017年5月,近日再次活跃,并有大量变种来袭。亚信安全已经拦截该家族的最新变种,将其命名为RANSOM_FAKEGLOBE.THAOLAH。

该病毒在被感染系统中生成如下自身拷贝文件:

  • %Application Data%\{ Malware name }.exe

为达到自启动目的,该病毒添加如下注册表键值:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce BrowserUpdateCheck = %Application Data%\{Malware name}.exe

该病毒避免加密文件名中含有下列字符串的文件:

  • {Malware name }
  • how_to_back_files.html
  • {GUID}

该病毒避免加密下列文件夹中的文件:

  • Windows
  • Microsoft
  • Microsoft Help
  • Windows App Certification Kit
  • Windows Defender
  • ESET
  • COMODO
  • Windows NT
  • Windows Kits
  • Windows Mail
  • Windows Media Player
  • Windows Multimedia Platform
  • Windows PhoneKits
  • Windows Phone Silverlight Kits
  • Windows Photo Viewer
  • WindowsPortable Devices
  • Windows Sidebar
  • WindowsPowerShell
  • NVIDIA Corporation
  • Microsoft.NET
  • Internet Explorer
  • Kaspersky Lab
  • McAfee
  • Avira
  • spytech software
  • Sysconfig
  • Avast
  • Dr.Web
  • Symantec
  • Symantec_Client_Security
  • system volume information
  • AVG
  • Microsoft Shared
  • Common Files
  • Outlook Express
  • Movie Maker
  • Chrome
  • Mozilla Firefox
  • Opera
  • YandexBrowser
  • Ntldr
  • Wsus
  • ProgramData

被加密后的文件扩展名为:

  • crypted!

其会在加密文件路径下,生成如下勒索提示信息文件:

  • how_to_back_files.html

生成的勒索提示文件,主要包括受害者个人的ID序列号和勒索者的联系方式:

亚信安全教你如何防范

勒索病毒不可能在短期内消失,网络犯罪分子采取的战术策略也在演变,其攻击方式更加多样化。对于勒索病毒的变种,亚信安全建议用户可以通过部署防火墙、邮件网关等产品作为第一道防线,行为监控和漏洞防护产品则可以有效阻止威胁到达客户端。具体防范措施如下:

  • 不要点击来源不明的邮件以及附件;
  • 及时升级系统,打全系统补丁;
  • 尽量关闭不必要的文件共享权限和不必要的端口;
  • 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储;
  • 亚信安全病毒码版本13.992.60 ,云病毒码版本13.992.71,全球码版本13.991.00已经可以检测到该病毒,请用户及时升级病毒码版本;
  • 亚信安全终端安全产品OfficeScan具有勒索病毒防御功能(AEGIS),可以有效阻拦勒索病毒对用户文件加密;
  • 亚信安全邮件安全网关产品,可以有效拦截勒索病毒邮件,做到在源头上进行阻断拦截。
点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 森槿纵遇2022-06-07 06:38:06
  • 文件名中含有下列字符串的文件:{Malware name }how_to_back_files.html{GUID}该病毒避免加密下列文件夹中的文件:WindowsMicrosof
  • 孤央并安2022-06-07 06:37:34
  • 截勒索病毒邮件,做到在源头上进行阻断拦截。
  • 弦久原野2022-06-07 15:19:22
  • rosoft.NETInternet ExplorerKaspersky LabMcAfeeAviraspytech softwareSysconfigAvastDr.
  • 慵吋清晓2022-06-07 12:40:52
  • wareSysconfigAvastDr.WebSymantecSymantec_Client_Securitysystem volume informationAVGMicrosoft SharedCommon FilesOutlook ExpressMovie MakerChr

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理