浪潮SSR安全技術(shù)團隊在第一時間針對GlobeImposter傳播和感染的原理����,在SSR5.0版本中進行了防護效果驗證。目前���,SSR5.0版本的主動防御功能和應用程序管控功能均有較好的防護效果。
新病毒采用更強加密算法,無秘鑰文件無法恢復
本次爆發(fā)的GlobeImposter勒索病毒,采用RSA和AES兩種加密算法的結(jié)合,加密磁盤文件并將后綴名篡改為.Techno�����、.DOC���、.CHAK�、.FREEMAN��、.TRUE、.RESERVE等。現(xiàn)已確認��,在沒有病毒作者私鑰的情況下無法恢復被加密的文件。最終該病毒將引導受害者通過郵件與勒索者進行聯(lián)系��,要求受害者將被加密的圖片或文檔發(fā)送到指定的郵箱進行付費解密���。
勒索軟件在加密文件的同時創(chuàng)建了勒索信息文件how_to_back_files.html���,要求受害者將一個加密的圖片或文檔發(fā)送到指定的郵箱���,由于加密的文件末尾包含個人ID,攻擊者可以通過個人ID及其手中的RSA私鑰解出用以解密文件的私鑰��,這樣就可以識別不同的受害者��。攻擊者會給出解密后的文件及解密所有文件的價格��,在受害者付款后����,攻擊者會發(fā)送解密程序�����。
浪潮SSR可有效防護GlobeImposter勒索病毒
浪潮安全團隊采用SSR5.0版本對GlobeImposter樣本進行防護對比驗證�。驗證環(huán)境中部署了三臺Win7操作系統(tǒng)的服務器����,其中服務器A不安裝SSR�����,服務器B安裝SSR并開啟主動防護功能�����,服務器C安裝SSR并開啟應用程序管控功能���。三臺設備配置信息如下表所示:
驗證設備配置信息
1����、服務器A中執(zhí)行GlobeImposter樣本
因服務器A中未部署SSR客戶端�����,在執(zhí)行GlobeImposter樣本后��,原文本文件test1.txt被加密��,并將后綴名修改為.doc�����。此外,因文本文件text2.txt為空��,根據(jù)GlobeImposter文件加密過濾規(guī)則,將不對空文件進行加密��,即下圖所示text2.txt并未被加密。
在被加密文件的目錄(此處截圖為桌面)生成勒索文件信息Read_ME.html�����,用于用戶支付贖金接口。
未部署SSR的服務器A遭受GlobeImposter攻擊
2、服務器B中執(zhí)行GlobeImposter樣本
服務器B部署SSR客戶端�����,并開啟了主動防御功能,其他功能暫不開啟����,主要驗證主動防御功能是否可阻止GlobeImposter發(fā)作�����。
在服務器B中執(zhí)行GlobeImposter樣本�����,暫時未發(fā)現(xiàn)異常。查看任務管理器����,發(fā)現(xiàn)GlobeImposter.exe已經(jīng)執(zhí)行,但桌面上的text.txt被未被加密����,也未產(chǎn)生生成勒索文件信息Read_ME.html。
GlobeImposter.exe樣本在服務器B中執(zhí)行情況
SSR集中管理平臺中主動防御功能監(jiān)控界面的攔截日志顯示����,SSR主動防御功能攔截了GlobeImposter.exe在temp目錄中創(chuàng)建system.dll文件(勒索軟件的變種不同�,釋放的dll可能不同)。這主要是因為主動防御功能內(nèi)置了相應的安全策略——禁止在系統(tǒng)目錄C盤中創(chuàng)新任何dll動態(tài)庫�,該策略可阻止勒索軟件啟動時在系統(tǒng)目錄釋放可執(zhí)行文件和動態(tài)庫,防止其后續(xù)的加密操作�。
SSR主動防御功能攔截system.dll創(chuàng)建日志
此外,SSR主動防御功能還內(nèi)置多種安全策略�,可阻止非授權(quán)在系統(tǒng)目錄中創(chuàng)建如exe、dll��、com、sys等后綴的可執(zhí)行文件���,保證系統(tǒng)不被惡意代碼攻擊�����。如果客戶服務器除了C盤還有其他盤��,建議配合應用程序管控一起使用�,這將有更好的防護效果。
3���、服務器C中執(zhí)行GlobeImposter樣本
服務器C部署SSR客戶端,并開啟了應用程序管控功能(軟件白名單)�����,其他功能暫不開啟����,主要驗證應用程序管控功能是否可阻止GlobeImposter發(fā)作����。
在執(zhí)行GlobeImposter前����,已經(jīng)對服務器C進行白名單采集。在服務器C中執(zhí)行GlobeImposter樣本后,系統(tǒng)直接彈出該程序無法執(zhí)行的提示���。
GlobeImposter.exe樣本在服務器C中執(zhí)行情況
打開SSR集中管理平臺中應用程序管控功能監(jiān)控界面,從程序運行狀態(tài)中可以發(fā)現(xiàn)GlobeImposter.exe的信任級別為未知��,在正常運行模式下,如果應用程序管控功能識別到程序為未知或黑名單�����,SSR將直接阻止程序的執(zhí)行,如果識別為白名單或灰名單�����,程序?qū)⒖梢詧?zhí)行���。從程序管控事件中可以看出出���,SSR應用程序管控功能阻止了GlobeImposter.exe樣本的執(zhí)行。
SSR應用程序管控攔截GlobeImposter.exe啟動操作
從GlobeImposter傳播和感染的原理�,以及實際驗證的情況來看,SSR5.0版本主動防御功能和應用程序管控功能均有較好的防護效果�����。針對GlobeImposter發(fā)作的各個階段�,SSR提供了多維度的防護功能。
SSR相應功能防護說明
防護勒索病毒��,浪潮安全專家支招
對于近期泛濫的GlobeImposter勒索病毒家族��,浪潮安全專家給出了有效防護的建議:
避免在服務器中使用過于簡單的口令����。登錄口令盡量采用大小寫字母、數(shù)字�����、特殊符號混用的組合方式���,并且保持口令由足夠的長度���。同時添加限制登錄失敗次數(shù)的安全策略并定期更換登錄口令����。多臺機器不要使用相同或類似的登錄口令��,以免出現(xiàn)“一臺淪陷�,全網(wǎng)癱瘓”的慘狀。重要資料一定要定期隔離備份���。此處尤其注意隔離��,在以往的反饋案例中從來不乏確有備份����,但由于在同一網(wǎng)絡內(nèi)����,導致備份服務器一同被加密的情況��。及時修補系統(tǒng)漏洞���,同時不要忽略各種常用服務的安全補丁���。關(guān)閉非必要的服務和端口如135、139����、445����、3389等高危端口。嚴格控制共享文件夾權(quán)限����,在需要共享數(shù)據(jù)的部分,盡可能的多采取云協(xié)作的方式���。提高安全意識��,不隨意點擊陌生鏈接����、來源不明的郵件附件����、陌生人通過即時通訊軟件發(fā)送的文件��,在點擊或運行前進行安全掃描�,盡量從安全可信的渠道下載和安裝軟件。
