以垃圾郵件進行傳播攻擊而著稱的“GlobeImposter”又出現(xiàn)了,它早已成為企業(yè)和個人用戶數(shù)據(jù)和系統(tǒng)安全不容忽視的威脅之一,備受用戶關(guān)注的同時也受到攻擊者們關(guān)注,甚至出現(xiàn)了一位“冒充者”。
近日,騰訊安全御見威脅情報中心監(jiān)測發(fā)現(xiàn)了一款利用WinRAR加密壓縮用戶文件假冒GlobeImposter的勒索病毒。該“勒索病毒”疑似通過SQL Server爆破攻擊,之后通過網(wǎng)絡(luò)下載攻擊代碼(含WinRAR加密模塊),將用戶數(shù)據(jù)文件使用WinRAR加密壓縮;隨后,攻擊者將再盜用GlobeImposter勒索病毒的勒索消息內(nèi)容,冒充GlobeImposter勒索病毒恐嚇用戶,索取酬金。
(圖:被利用的WinRAR加密壓縮文件)
此類假冒攻擊病毒具有較高的迷惑性但其破壞力遠(yuǎn)低于GlobeImposter勒索病毒,騰訊安全專家分析病毒執(zhí)行代碼,就在配置文件中發(fā)現(xiàn)執(zhí)行WinRAR加密壓縮時的明文密碼。對于中招的企業(yè)和個人用戶,騰訊安全技術(shù)專家提醒切莫盲目繳納贖金,嘗試使用WinRAR解壓文件,解壓密碼為lll.hc3t6b9s8kz5r26,即可完全恢復(fù)文件。同時,建議盡快修補SQLServer漏洞,使用安全密碼,停止使用弱口令,避免服務(wù)器被再次攻擊。推薦用戶使用騰訊御點終端安全管理系統(tǒng)或騰訊電腦管家進行查殺和實時防護。
(圖:修改版“GlobeImposter”勒索郵件文檔)
(圖:假冒“GlobeImposter勒索病毒”密碼解壓)
縱觀全球網(wǎng)絡(luò)安全生態(tài),勒索病毒攻擊的防范與破解一直以來都是企業(yè)和個人用戶關(guān)注的重點問題。面對病毒作者將常用工具(WinRAR壓縮文件)和高破壞性勒索病毒(GlobeImposter)組合仿冒恐嚇用戶勒索酬金的“全新玩法”,騰訊安全反病毒實驗室負(fù)責(zé)人、騰訊電腦管家安全專家馬勁松提醒廣大企業(yè)用戶,盡量關(guān)閉不必要的文件共享和端口,對重要文件和數(shù)據(jù)進行定期非本地備份;采用高強度的密碼,同時對沒有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問設(shè)置相應(yīng)控制;教育終端用戶須尤其謹(jǐn)慎陌生郵件下載;建議在終端/服務(wù)器部署專業(yè)安全防護軟件,推薦在Web服務(wù)器上部署騰訊云等專業(yè)云安全防護服務(wù)系統(tǒng);此外,建議建議全網(wǎng)安裝御點終端安全管理系統(tǒng),對終端殺毒、修復(fù)漏洞、策略管理等進行全方位統(tǒng)一管控,切實幫助企業(yè)全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護企業(yè)安全。
(圖:騰訊御點終端安全管理系統(tǒng))
對個人用戶馬勁松建議開啟騰訊電腦管家等安全軟件的防護功能啟動騰訊電腦管家的文檔守護者功能,利用磁盤冗余空間備份數(shù)據(jù)文件,以防意外,切實保護用戶數(shù)據(jù)安全。
