继2018年初,国内一省级儿童医院感染Globelmposter勒索病毒,不久9月山东十市不动产系统遭其入侵之后,2019年3月10日,360安全大脑监测发现GlobeImposter勒索病毒家族又再发起大规模攻击,此次医疗行业中多家大型医院受到不同程度的感染,并且大有全国蔓延爆发趋势。
从出现到爆发,仅用一年流行度跃升TOP2
GlobeImposter是目前国内最流行的勒索病毒之一,根据360安全大脑的监测发现,GlobeImposter最初的爆发轨迹可追溯到前年。2017年9月,收到的关于GlobeImposter勒索病毒的中招反馈开始频繁出现,而到了2018年7月下旬,GlobeImposter家族已经呈大规模爆发之势。通过2017和2018两个年度的勒索病毒疫情报告,就能明显看出GlobeImposter流行度的变化,在所有流行勒索病毒中的占比中,该家族由3.2%快速跃升至第二位的24.8%。
(2017年流行勒索病毒家族分布)
(2018年流行勒索病毒家族分布)
而此次爆发的是该家族中活跃度最高的系列变种——生肖系列,该系列的变种会加密磁盘文件并篡改后缀名“[生肖]+4444”的形式,同时在被加密的目录下会生成一个名为“HOW_TO_BACK_FILES”的文本文件,其中内容,包括了受害者的ID以及黑客的联系方式等信息。
从传播方式来看,GlobeImposter依然主要通过RDP弱口令爆破入侵服务器。成功入侵一台设备之后,黑客通常会通过这台设备做跳板,再次攻击内网其它设备。当拿下一定规模的设备后,黑客便会通过一些脚本和工具半自动的将勒索病毒投放到被拿下的机器中,因此GlobeImposter经常会出现成规模的集中爆发情况。
变种繁多几乎集齐“十二生肖”,360安全卫士全面拦截
说起GlobeImposter家族,最值得一提的还是其强大的“变种能力”,若按后缀名区分变种,仅2018年我们收到的反馈中,该勒索病毒家族就有超过100个变种存在。伴随着该勒索病毒爆发的,一大批新变种的到来,也就是一直到现在依然在活跃的“生肖系列变种”。按照出现顺序排列,依次为(该系列包含大量生肖名,但并非所有变种均为生肖):
后缀 | 词义 | 出现时间 |
Pig4444 | 猪 | 2018年8月 |
Snake4444 | 蛇 | 2018年9月 |
Dragon4444 | 龙 | 2018年9月 |
Ox4444 | 牛 | 2018年9月 |
Rooster4444 | 鸡 | 2018年9月 |
Tiger4444 | 虎 | 2018年9月 |
Horse4444 | 马 | 2018年10月 |
Help4444 | 帮助(非十二生肖) | 2018年10月 |
SKUNK4444 | 臭鼬(非十二生肖) | 2018年11月 |
Goat4444 | 羊 | 2018年12月 |
Rabbit4444 | 兔 | 2018年12月 |
Monkey4444 | 猴 | 2019年2月 |
ALCO4444 | 含义不明(非十二生肖) | 2019年2月 |
Rat4444 | 鼠 | 2019年2月 |
如上所述,该系列目前仅“狗”这一生肖尚未出现。
根据统计的最新数据,GlobeImposter家族最新变种并非“生肖系列”,但从目前捕获到的新变种的分析来看,新的变种仅是变化了后缀名,而其代码部分变化并不大。尤其是主体功能部分代码与之前版本比较,基本没有变化。
(捕获到的最新变种与早前样本代码相似的对比)
无论是“生肖系列”,还是其他最新变种,针对服务器的勒索攻击依然是当下GlobeImposter勒索病毒家族的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此360安全大脑给各位管理员及普通电脑用户一些建议:
1. 前往weishi.360.cn,下载并安装360安全卫士,能有效拦截GlobeImposter家族等各类勒索病毒的攻击;
2. 多台机器,不要使用相同的账号和口令;
3. 登录口令要有足够的长度和复杂性,并定期更换登录口令;
4. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份;
5. 定期检测系统和软件中的安全漏洞,及时打上补丁;
6. 定期到服务器检查是否存在异常。查看范围包括是否新增账户,Guest是否被启用,Windows系统日志是否存在异常,及杀毒软件是否存在异常拦截情况。