陈忠岩个人博客-一个生活在这个现实社会的小角色在讲述他的故事!

当前位置:首页 - 网摘 - 正文

君子好学,自强不息!

勒索病毒Globelmposter出现变种3.0

2018-09-06 | 网摘 | 陈忠岩 | 265°c
A+ A-

八月至今国内多家大型企业遭遇GlobeImposter3.0变种勒索病毒侵害,并呈现爆发的趋势。黑客通过入侵企业内网利用RDP/SMB暴力破解在内网扩散,投放Globelmposter3.0勒索病毒,在进入内网后 通过多种方法获取登录凭证并在内网横渗透传播,此次爆发的勒索病毒并不区分被入侵机器是否有服务器,一旦入侵成功后,所有文件都被加密后辍名为“WALKER”的文件。

关于Globelmposter

Globelmposter勒索病毒首次出现发生在2017年5月,第二次出现在2017年11月。GlobeImposter2.0勒索病毒在今年2月份被发现,随后8月再次爆发。

由于Globelmposter3.0采用RSA+AES算法加密,文件被加密后会被加上Ox4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES.txt”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。


1 . 该病毒在被感染系统中生成如下自身拷贝文件:%AppDataLocal%\.exe

2 . 在系统目录中生成如下文件:

%SystemRoot\Users\Public\B26A340109A0081ADF57D63647533B8681DC0B8E159BE 052385ED4024E9CFFBC

3 . 为达到自启动目的,该病毒添加如下注册表键值:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce BrowserUpdateCheck = %Application Data%\.exe

4 . 被加密后的文件扩展名为:ALCO

5 . 其会在加密文件路径下,生成如下勒索提示信息文件:how_to_back_files.html

6 . 生成的勒索提示文件,主要包括受害者个人的ID序列号和勒索者的联系方式

解决方案

勒索病毒一旦中招必将损失惨重,因此积极防御就显得尤为重要,而防范勒索病毒的终极手段,还是要从源头对数据资产进行保护,坚决不给勒索病毒以可乘之机。

本文来源:陈忠岩个人博客

本文地址:http://www.chenzhongyan.com/socialbookmark/172.html

关注我们:微信搜索“chen_zhongyan”添加我为好友

版权声明:如无特别注明,转载请注明本文地址!

发表评论

必填

选填

选填

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。


你好,朋友
真是美好的一天!
  • 陈忠岩个人博客
  • 巴彦生活网
  • 好DJ舞曲网
  • 订阅本站的 RSS 2.0 新闻聚合

广而告之

本站出售广告位及友情链接,友情链接每个月两块钱,广告位全部十元一个,好位置先到先得!机不可失,失不再来!有意者联系QQ253716433