近日，亞信安全網(wǎng)絡(luò)監(jiān)測(cè)實(shí)驗(yàn)室監(jiān)測(cè)到大量GlobeImposter勒索病毒在我國(guó)傳播，此次勒索病毒變種繁多，被加密后的文件擴(kuò)展名也各不相同，包括.crypted!、.doc和.TRUE等。GlobeImposter勒索病毒主要是通過垃圾郵件進(jìn)行傳播，與以往不同的是，此次變種會(huì)通過郵件來告知受害者付款方式，勒索贖金從1到10比特幣不等。亞信安全相關(guān)產(chǎn)品已經(jīng)可以檢測(cè)GlobeImposter家族，并將其命名為RANSOM_FAKEGLOBE。

亞信安全詳解病毒技術(shù)細(xì)節(jié)

Globelmposter家族首次出現(xiàn)時(shí)間為2017年5月，近日再次活躍，并有大量變種來襲。亞信安全已經(jīng)攔截該家族的最新變種，將其命名為RANSOM_FAKEGLOBE.THAOLAH。

該病毒在被感染系統(tǒng)中生成如下自身拷貝文件：

• %Application Data%\{ Malware name }.exe

為達(dá)到自啟動(dòng)目的，該病毒添加如下注冊(cè)表鍵值：

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce BrowserUpdateCheck = %Application Data%\{Malware name}.exe

該病毒避免加密文件名中含有下列字符串的文件：

• {Malware name }

• how_to_back_files.html

• {GUID}


該病毒避免加密下列文件夾中的文件：

• Windows

• Microsoft

• Microsoft Help

• Windows App Certification Kit

• Windows Defender

• ESET

• COMODO

• Windows NT

• Windows Kits

• Windows Mail

• Windows Media Player

• Windows Multimedia Platform

• Windows PhoneKits

• Windows Phone Silverlight Kits

• Windows Photo Viewer

• WindowsPortable Devices

• Windows Sidebar

• WindowsPowerShell

• NVIDIA Corporation

• Microsoft.NET

• Internet Explorer

• Kaspersky Lab

• McAfee

• Avira

• spytech software

• Sysconfig

• Avast

• Dr.Web

• Symantec

• Symantec_Client_Security

• system volume information

• AVG

• Microsoft Shared

• Common Files

• Outlook Express

• Movie Maker

• Chrome

• Mozilla Firefox

• Opera

• YandexBrowser

• Ntldr

• Wsus

• ProgramData

被加密后的文件擴(kuò)展名為：

• crypted!

其會(huì)在加密文件路徑下，生成如下勒索提示信息文件：

• how_to_back_files.html

生成的勒索提示文件，主要包括受害者個(gè)人的ID序列號(hào)和勒索者的聯(lián)系方式：

亞信安全教你如何防范

勒索病毒不可能在短期內(nèi)消失，網(wǎng)絡(luò)犯罪分子采取的戰(zhàn)術(shù)策略也在演變，其攻擊方式更加多樣化。對(duì)于勒索病毒的變種，亞信安全建議用戶可以通過部署防火墻、郵件網(wǎng)關(guān)等產(chǎn)品作為第一道防線，行為監(jiān)控和漏洞防護(hù)產(chǎn)品則可以有效阻止威脅到達(dá)客戶端。具體防范措施如下：

• 不要點(diǎn)擊來源不明的郵件以及附件;

• 及時(shí)升級(jí)系統(tǒng)，打全系統(tǒng)補(bǔ)丁;

• 盡量關(guān)閉不必要的文件共享權(quán)限和不必要的端口;

• 請(qǐng)注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則，即至少做三個(gè)副本，用兩種不同格式保存，并將副本放在異地存儲(chǔ);

• 亞信安全病毒碼版本13.992.60 ，云病毒碼版本13.992.71，全球碼版本13.991.00已經(jīng)可以檢測(cè)到該病毒，請(qǐng)用戶及時(shí)升級(jí)病毒碼版本;

• 亞信安全終端安全產(chǎn)品OfficeScan具有勒索病毒防御功能(AEGIS)，可以有效阻攔勒索病毒對(duì)用戶文件加密;

• 亞信安全郵件安全網(wǎng)關(guān)產(chǎn)品，可以有效攔截勒索病毒郵件，做到在源頭上進(jìn)行阻斷攔截。