新闻中心

新闻中心

关注安百最新动态,掌握新鲜安全资讯

GlobeImposter最新变种勒索病毒预警通报
2019-03-13 11:12:48

GlobeImposter最新变种勒索病毒预警通报


发布时间:2019-03-13

通报编号:AB-I-OS-10001

CVE编号: N/A

安全等级:紧急☆☆☆


一.  类型


操作系统和网络



二.  概要描述


据国家网络与信息安全信息通报中心监测发现,2019年3月11日起,境外某黑客组织对我国有关政府部门开展勒索病毒邮件攻击。邮件主题为“你必须在3月11日下午3点向警察局报到!”,发件人名为“Min,Gap Ryong”,邮件附件名为“03-11-19.rar”。经分析研判,该勒索病毒版本号为GANDCRAB V5.2,是2019年2月最新升级的勒索病毒版本,运行后将对用户主机硬盘数据全盘加密,并让受害用户访问网址“https://www.torproject.org/”下载Tor浏览器,随后通过Tor浏览器登录攻击者的数字货币支付窗口http://gandcrabmfe6mnef.onion/1812a265c3857fa,要求受害用户缴纳赎金。目前,我国部分政府部门邮箱已遭到攻击。


三.  危害


被感染后的主机或电脑,所有磁盘文件被加密。


四.  攻击手段


经分析,该病毒的主要攻击步骤如下:

第一步对服务器进行渗透,黑客通过弱口令爆破、端口扫描等攻击手法,利用3389等远程登陆开放端口,使用自动化攻击脚本,用密码字典暴力破解管理员账号。

第二步对内网其他机器进行渗透,攻击者在打开内网突破口后,会在内网对其他主机进行口令爆破,利用网络嗅探、多协议爆破等工具实施爆破。

第三步植入勒索病毒,在内网横向移动至一台新的主机后,会尝试进行手动或用工具卸载主机上安装的防护软件,手动植入勒索病毒。

第四步运行病毒,病毒自动执行程序,对电脑内文件进行加密,完成病毒攻击过程。


五.  防范措施


1、不要打开来历不明的邮件附件;

2、及时安装主流杀毒软件,升级病毒库,对相关系统进行全面扫描查杀;

3、及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播;

4、严格控制端口管理,尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389;建议关闭远程桌面协议。

5、对已感染主机或服务器采取断网措施,防止病毒扩散蔓延。

6、加强应急处置,加强监测以及开展24小时应急值守,进一步完善本单位网络与信息系统突发事件应急预案,确保突发事件应急响应及时、规范、有效。


  • globeimposter
  • 勒索病毒
  • 预警通报
  • globeimposter
  • 勒索病毒
  • 预警通报