实验室动态

安全预警!Globelmposter3.0勒索病毒来袭!

2019-3-12    来源:    作者:  浏览次数:241

病毒预警

近期,多地发生Globelmposter勒索病毒事件,Globelmposter勒索病毒已经更新到3.0变种,受影响的系统其数据库文件被加密破坏,病毒将加密后的文件重命名为.Ox4444等扩展名,并要求用户通过邮件沟通赎金与解密密钥等。目前国内多家企业中招,呈现爆发趋势。遭受攻击的企业系统无法正常运行,日常工作难以开展,造成了严重损失。

面对来势汹汹的勒索病毒,数据恢复四川省重点实验室始终站在第一线,与用户共同面对,警惕勒索病毒,做好病毒检测与防御措施,防范此次勒索攻击,做好数据恢复工作,保障企业数据安全。


病毒名称:Globelmposter3.0 变种

病毒性质:勒索病毒

影响范围:多省份出现医院大规模爆发,有全国爆发趋势

危害等级:高危



勒索病毒
直面病毒,分析病毒样本


面对此类勒索病毒,数据恢复四川省重点实验室早已做过长期的调查研究,针对WannaCry、BadRabbit、GandCrab、Crysis、Petya等10余种勒索病毒家族,100余个勒索病毒样本进行深入分析研究。

这次爆发的勒索病毒样本为Globelmposter3.0家族的变种,由于Globelmposter采用RSA+AES算法加密,文件被加密后会被加上Ox4444后缀,如China4444、Help4444、Rat4444 、Tiger4444 、Rabbit4444 等。目录下会生成一个名为“HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。


黑客留下的“HOW_TO_BACK_FILES”的文件


勒索病毒
自我防护,防止病毒入侵


面对严峻的勒索病毒威胁态势,防范Globelmposter 勒索病毒感染,全方位的保护计算机安全,确保各业务系统平稳安全运行,数据恢复四川省重点实验室建议可以从安全技术和安全管理两方面入手:


1、 不要点击来源不明的邮件附件,强化网络安全意识;

2、 及时为计算机安装最新的安全补丁,修复系统或第三方软件中存在的安全漏洞;

3、 尽量关闭不必要的端口,如:445、135,139等,对3389端口可进行白名单配置,只允许白名单内的IP连接登陆;

4、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问;

5、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理;

6. 尽量不要点击office宏运行提示,避免来自office组件的病毒感染;

7、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器;

8、 对重要文件和数据(数据库等数据)进行定期非本地备份;

9、升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;

10、需要的软件从正规(官网)途径下载,不要双击打开.js、.vbs等后缀名文件。


勒索病毒
软件再升级,全力提高恢复质量


数据恢复四川省重点实验室通过对病毒样本的加密方式和加密策略深入研究,同时对数据库文件的底层结构和存储逻辑进行深入分析,发现绝大多数的勒索病毒对文件加密的方式除了全加密,还可以分为以下三种:

A.仅对文件头部区域部分数据进行加密

B.对文件头部和尾部区域的部分数据进行加密

C.对文件头部区域进行间隔加密

而数据库的数据文件存储逻辑是将表结构和表记录进行分离存储。表记录的存储方式是从数据页尾部开始存储,而且在数据库的数据文件中还包含一定量的系统表结构、视图、触发器、函数。

当数据文件被加密时,无论是上述三种加密策略中哪一种,数据文件中记录的表记录并不能被完全加密,可以依据未加密部分的数据进行提取表结构和表记录,再以此为基础进行碎片级的数据提取。

极简勒索病毒恢复软件(数据库专版)

数据恢复四川省重点实验室推出“极简勒索病毒恢复软件(数据库专版)”,有效提高了数据库文件的恢复质量。


该软件可通过配置数据结构特征对指定数据进行提取,以此对勒索病毒加密的数据库、碎片级数据库等数据进行恢复,恢复效果高达90%以上,最大程度减少受害人损失。

勒索病毒恢复软件(数据库专版)应用效果图


现Globelmposter 勒索病毒仍在持续肆虐传播,国内已有多个区域、多个行业受该病毒影响,包括政府、医疗行业、教育行业以及大型企业单位等,呈现爆发趋势。


数据恢复四川省重点实验室提醒广大用户做好安全防护,警惕Globelmposter勒索病毒,现提供极简勒索病毒恢复软件(数据库专版)、勒索病毒解决方案和勒索案件专线服务,欢迎与我们联系!