繼2018年初,國內一省級兒童醫院感染Globelmposter勒索病毒,不久9月山東十市不動產系統遭其入侵之後,2019年3月10日,360安全大腦監測發現GlobeImposter勒索病毒家族又再發起大規模攻擊,此次醫療行業中多家大型醫院受到不同程度的感染,並且大有全國蔓延爆發趨勢。
從出現到爆發,僅用一年流行度躍升TOP2
GlobeImposter是目前國內最流行的勒索病毒之一,根據360安全大腦的監測發現,GlobeImposter最初的爆發軌跡可追溯到前年。2017年9月,收到的關於GlobeImposter勒索病毒的中招反饋開始頻繁出現,而到了2018年7月下旬,GlobeImposter家族已經呈大規模爆發之勢。透過2017和2018兩個年度的勒索病毒疫情報告,就能明顯看出GlobeImposter流行度的變化,在所有流行勒索病毒中的佔比中,該家族由3.2%快速躍升至第二位的24.8%。
(2017年流行勒索病毒家族分佈)
(2018年流行勒索病毒家族分佈)
而此次爆發的是該家族中活躍度最高的系列變種——生肖系列,該系列的變種會加密磁碟檔案並篡改字尾名“[生肖]+4444”的形式,同時在被加密的目錄下會生成一個名為“HOW_TO_BACK_FILES”的文字檔案,其中內容,包括了受害者的ID以及駭客的聯絡方式等資訊。
從傳播方式來看,GlobeImposter依然主要透過RDP弱口令爆破入侵伺服器。成功入侵一臺裝置之後,駭客通常會透過這臺裝置做跳板,再次攻擊內網其它裝置。當拿下一定規模的裝置後,駭客便會透過一些指令碼和工具半自動的將勒索病毒投放到被拿下的機器中,因此GlobeImposter經常會出現成規模的集中爆發情況。
變種繁多幾乎集齊“十二生肖”,360安全衛士全面攔截
說起GlobeImposter家族,最值得一提的還是其強大的“變種能力”,若按字尾名區分變種,僅2018年我們收到的反饋中,該勒索病毒家族就有超過100個變種存在。伴隨著該勒索病毒爆發的,一大批新變種的到來,也就是一直到現在依然在活躍的“生肖系列變種”。按照出現順序排列,依次為(該系列包含大量生肖名,但並非所有變種均為生肖):
字尾 | 詞義 | 出現時間 |
Pig4444 | 豬 | 2018年8月 |
Snake4444 | 蛇 | 2018年9月 |
Dragon4444 | 龍 | 2018年9月 |
Ox4444 | 牛 | 2018年9月 |
Rooster4444 | 雞 | 2018年9月 |
Tiger4444 | 虎 | 2018年9月 |
Horse4444 | 馬 | 2018年10月 |
Help4444 | 幫助(非十二生肖) | 2018年10月 |
SKUNK4444 | 臭鼬(非十二生肖) | 2018年11月 |
Goat4444 | 羊 | 2018年12月 |
Rabbit4444 | 兔 | 2018年12月 |
Monkey4444 | 猴 | 2019年2月 |
ALCO4444 | 含義不明(非十二生肖) | 2019年2月 |
Rat4444 | 鼠 | 2019年2月 |
如上所述,該系列目前僅“狗”這一生肖尚未出現。
根據統計的最新資料,GlobeImposter家族最新變種並非“生肖系列”,但從目前捕獲到的新變種的分析來看,新的變種僅是變化了字尾名,而其程式碼部分變化並不大。尤其是主體功能部分程式碼與之前版本比較,基本沒有變化。
(捕獲到的最新變種與早前樣本程式碼相似的對比)
無論是“生肖系列”,還是其他最新變種,針對伺服器的勒索攻擊依然是當下GlobeImposter勒索病毒家族的一個主要方向,企業需要加強自身的資訊保安管理能力——尤其是弱口令、漏洞、檔案共享和遠端桌面的管理,以應對勒索病毒的威脅,在此360安全大腦給各位管理員及普通電腦使用者一些建議:
1. 前往weishi.360.cn,下載並安裝360安全衛士,能有效攔截GlobeImposter家族等各類勒索病毒的攻擊;
2. 多臺機器,不要使用相同的賬號和口令;
3. 登入口令要有足夠的長度和複雜性,並定期更換登入口令;
4. 重要資料的共享資料夾應設定訪問許可權控制,並進行定期備份;
5. 定期檢測系統和軟體中的安全漏洞,及時打上補丁;
6. 定期到伺服器檢查是否存在異常。檢視範圍包括是否新增賬戶,Guest是否被啟用,Windows系統日誌是否存在異常,及防毒軟體是否存在異常攔截情況。