以垃圾邮件进行传播攻击而著称的“GlobeImposter”又出现了,它早已成为企业和个人用户数据和系统安全不容忽视的威胁之一,备受用户关注的同时也受到攻击者们关注,甚至出现了一位“冒充者”。
近日,腾讯安全御见威胁情报中心监测发现了一款利用WinRAR加密压缩用户文件假冒GlobeImposter的勒索病毒。该“勒索病毒”疑似通过SQL Server爆破攻击,之后通过网络下载攻击代码(含WinRAR加密模块),将用户数据文件使用WinRAR加密压缩;随后,攻击者将再盗用GlobeImposter勒索病毒的勒索消息内容,冒充GlobeImposter勒索病毒恐吓用户,索取酬金。
(图:被利用的WinRAR加密压缩文件)
此类假冒攻击病毒具有较高的迷惑性但其破坏力远低于GlobeImposter勒索病毒,腾讯安全专家分析病毒执行代码,就在配置文件中发现执行WinRAR加密压缩时的明文密码。对于中招的企业和个人用户,腾讯安全技术专家提醒切莫盲目缴纳赎金,尝试使用WinRAR解压文件,解压密码为lll.hc3t6b9s8kz5r26,即可完全恢复文件。同时,建议尽快修补SQLServer漏洞,使用安全密码,停止使用弱口令,避免服务器被再次攻击。推荐用户使用腾讯御点终端安全管理系统或腾讯电脑管家进行查杀和实时防护。
(图:修改版“GlobeImposter”勒索邮件文档)
(图:假冒“GlobeImposter勒索病毒”密码解压)
纵观全球网络安全生态,勒索病毒攻击的防范与破解一直以来都是企业和个人用户关注的重点问题。面对病毒作者将常用工具(WinRAR压缩文件)和高破坏性勒索病毒(GlobeImposter)组合仿冒恐吓用户勒索酬金的“全新玩法”,腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大企业用户,尽量关闭不必要的文件共享和端口,对重要文件和数据进行定期非本地备份;采用高强度的密码,同时对没有互联需求的服务器/工作站内部访问设置相应控制;教育终端用户须尤其谨慎陌生邮件下载;建议在终端/服务器部署专业安全防护软件,推荐在Web服务器上部署腾讯云等专业云安全防护服务系统;此外,建议建议全网安装御点终端安全管理系统,对终端杀毒、修复漏洞、策略管理等进行全方位统一管控,切实帮助企业全面了解、管理企业内网安全状况、保护企业安全。
(图:腾讯御点终端安全管理系统)
对个人用户马劲松建议开启腾讯电脑管家等安全软件的防护功能启动腾讯电脑管家的文档守护者功能,利用磁盘冗余空间备份数据文件,以防意外,切实保护用户数据安全。
