优炫软件安全研究院发布GlobeImposter3.0变种勒索病毒通告，请广大用户提高信息安全防范意识，提前做好防范工作。

病毒描述

GlobeImposter2.0勒索病毒变种在2018年8月份再次发现，攻击手法极其丰富，可以通过社会工程，RDP爆破，恶意程序捆绑等方式进行传播，其加密的后缀名也不断变化，有：

.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE，.ALC0、.ALC02、.ALC03、.RESERVE等。

Globelmposter3.0变种，其加密文件使用Ox4444扩展名，由于Globelmposter3.0采用RSA+AES算法加密，目前该勒索病毒加密的文件暂无解密工具，文件被加密后会被加上Ox4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES.txt”的txt文件，显示受害者的个人ID序列号以及黑客的联系方式等。

勒索界面如下：

病毒特点

GlobeImposter3.0勒索家族习惯以垃圾邮件方式和扫描渗透的方式进行传播，但近期勒索病毒的攻击过程极可能为Windows远程桌面服务密码被暴力破解后植入勒索病毒。

从勒索病毒样本层面看，GlobeImposter3.0勒索软件在代码上进行了一些改变。如以往该家族样本在加密之前会结束诸如“sql”，“outlook”、“excel”、“word”等进程，而此次的勒索病毒则没有这些对进程的检测的代码。

该勒索病毒常用RSA+AES加密方式，其中AES密钥的生成方式并不是通过传统的随机函数等生成，而是通过CoCreateGuid函数生成全局唯一标识符，并将该标识符做为AES加密算法的secret key。

自动删除远程桌面连接信息及事件日志。

开机自启动病毒本体为一个win32 exe程序，病毒运行后会将病毒本体复制到%LOCALAPPDATA%或%APPDATA%目录，删除原文件并设置自启动项实现开机自启动，注册表项为

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck。

病毒危害

通过RSA算法进行加密，先通过CryptGenRandom随机生成一组128位密钥对，然后使用样本中的硬编码的256位公钥生成相应的私钥使服务器无法运行、失去重要文件。

预防办法

1.常用加固方法

■ 不要点击来源不明的邮件以及附件；

■ 及时升级系统、及时安装系统补丁；

■ 对重要服务器和主机进行软件加固；

■ 关闭不必要的共享权限以及端口，如：3389、445、135、139；

■ 对重要文件进行实时备份;

■ 对内网安全域进行合理划分，各个安全域之间限制严格的 ACL，限制横向移动的范围；

■ 重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御，严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务；

■ 在网络内架设 IDS/IPS 设备，及时发现、阻断内网的横向移动行为；

■ 在网络内架设全流量记录设备，以及发现内网的横向移动行为，并为追踪溯源提供良好的基础。

2.优炫安全加固方案

操作系统安全增强系统（RS-CDPS）通过安装在服务器的安全内核保护服务器数据。它在操作系统的安全功能之上提供了一个安全保护层，通过截取系统调用实现对文件系统的访问控制，以加强操作系统安全性。它不用更改操作系统就可以安装，操作方便，宜于系统管理和安全管理。

这里我们仅列举白名单功能，白名单功能通过对进程的保护可以防止不明程序和恶意代码执行，有效保护系统安全。安装优炫RS-CDPS的系统可有效阻止不明程序的执行，如下图：

a. 没有安装加固的系统（未收到保护的系统，点击运行后，文件就会被加密）

b. 开启保护状态

c．执行勒索病毒（安全优炫RS-CDPS的系统，能有效防御勒索病毒的执行，保护系统安全）

版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属优炫软件所有，受到有关产权及版权法保护。任何个人、机构未经优炫软件的书面授权许可，不得以任何方式复制或引用本文的任何片断。