近期,国家计算机网络应急技术处理协调中心广东分中心发布GlobeImposter勒索病毒家族传播预警,预警报告中指出GlobeImposter正在利用RDP(远程桌面协议)远程爆破等方式突破企业边界防御,再进一步进行内网渗透感染高价值服务器并加密文件。目前,多数据中心遭受到此病毒攻击受到影响。
浪潮SSR安全技术团队在第一时间针对GlobeImposter传播和感染的原理,在SSR5.0版本中进行了防护效果验证。目前,SSR5.0版本的主动防御功能和应用程序管控功能均有较好的防护效果。
新病毒采用更强加密算法,无秘钥文件无法恢复
本次爆发的GlobeImposter勒索病毒,采用RSA和AES两种加密算法的结合,加密磁盘文件并将后缀名篡改为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.RESERVE等。现已确认,在没有病毒作者私钥的情况下无法恢复被加密的文件。最终该病毒将引导受害者通过邮件与勒索者进行联系,要求受害者将被加密的图片或文档发送到指定的邮箱进行付费解密。
勒索软件在加密文件的同时创建了勒索信息文件how_to_back_files.html,要求受害者将一个加密的图片或文档发送到指定的邮箱,由于加密的文件末尾包含个人ID,攻击者可以通过个人ID及其手中的RSA私钥解出用以解密文件的私钥,这样就可以识别不同的受害者。攻击者会给出解密后的文件及解密所有文件的价格,在受害者付款后,攻击者会发送解密程序。
浪潮SSR可有效防护GlobeImposter勒索病毒
浪潮安全团队采用SSR5.0版本对GlobeImposter样本进行防护对比验证。验证环境中部署了三台Win7操作系统的服务器,其中服务器A不安装SSR,服务器B安装SSR并开启主动防护功能,服务器C安装SSR并开启应用程序管控功能。三台设备配置信息如下表所示:
1、服务器A中执行GlobeImposter样本
因服务器A中未部署SSR客户端,在执行GlobeImposter样本后,原文本文件test1.txt被加密,并将后缀名修改为.doc。此外,因文本文件text2.txt为空,根据GlobeImposter文件加密过滤规则,将不对空文件进行加密,即下图所示text2.txt并未被加密。
在被加密文件的目录(此处截图为桌面)生成勒索文件信息Read_ME.html,用于用户支付赎金接口。
未部署SSR的服务器A遭受GlobeImposter攻击
2、服务器B中执行GlobeImposter样本
服务器B部署SSR客户端,并开启了主动防御功能,其他功能暂不开启,主要验证主动防御功能是否可阻止GlobeImposter发作。
在服务器B中执行GlobeImposter样本,暂时未发现异常。查看任务管理器,发现GlobeImposter.exe已经执行,但桌面上的text.txt被未被加密,也未产生生成勒索文件信息Read_ME.html。
GlobeImposter.exe样本在服务器B中执行情况
SSR集中管理平台中主动防御功能监控界面的拦截日志显示,SSR主动防御功能拦截了GlobeImposter.exe在temp目录中创建system.dll文件(勒索软件的变种不同,释放的dll可能不同)。这主要是因为主动防御功能内置了相应的安全策略——禁止在系统目录C盘中创新任何dll动态库,该策略可阻止勒索软件启动时在系统目录释放可执行文件和动态库,防止其后续的加密操作。
SSR主动防御功能拦截system.dll创建日志
此外,SSR主动防御功能还内置多种安全策略,可阻止非授权在系统目录中创建如exe、dll、com、sys等后缀的可执行文件,保证系统不被恶意代码攻击。如果客户服务器除了C盘还有其他盘,建议配合应用程序管控一起使用,这将有更好的防护效果。
3、服务器C中执行GlobeImposter样本
服务器C部署SSR客户端,并开启了应用程序管控功能(软件白名单),其他功能暂不开启,主要验证应用程序管控功能是否可阻止GlobeImposter发作。
在执行GlobeImposter前,已经对服务器C进行白名单采集。在服务器C中执行GlobeImposter样本后,系统直接弹出该程序无法执行的提示。
GlobeImposter.exe样本在服务器C中执行情况
打开SSR集中管理平台中应用程序管控功能监控界面,从程序运行状态中可以发现GlobeImposter.exe的信任级别为未知,在正常运行模式下,如果应用程序管控功能识别到程序为未知或黑名单,SSR将直接阻止程序的执行,如果识别为白名单或灰名单,程序将可以执行。从程序管控事件中可以看出出,SSR应用程序管控功能阻止了GlobeImposter.exe样本的执行。
SSR应用程序管控拦截GlobeImposter.exe启动操作
从GlobeImposter传播和感染的原理,以及实际验证的情况来看,SSR5.0版本主动防御功能和应用程序管控功能均有较好的防护效果。针对GlobeImposter发作的各个阶段,SSR提供了多维度的防护功能。
防护勒索病毒,浪潮安全专家支招
对于近期泛滥的GlobeImposter勒索病毒家族,浪潮安全专家给出了有效防护的建议:
1. 避免在服务器中使用过于简单的口令。登录口令尽量采用大小写字母、数字、特殊符号混用的组合方式,并且保持口令由足够的长度。同时添加限制登录失败次数的安全策略并定期更换登录口令。
2. 多台机器不要使用相同或类似的登录口令,以免出现“一台沦陷,全网瘫痪”的惨状。
3. 重要资料一定要定期隔离备份。此处尤其注意隔离,在以往的反馈案例中从来不乏确有备份,但由于在同一网络内,导致备份服务器一同被加密的情况。
4. 及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。
5. 关闭非必要的服务和端口如135、139、445、3389等高危端口。
6. 严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。
7. 提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件。
