Globelmposter勒索病毒再次出现最新变种,密文件后缀以十二生肖 865qqz的方式出现。即到哥一客户,2019年12月29日,公司被此病毒攻击,公司的ERP,明源系统,文件服务器都中招了。
中招现象如下图所示:
所有文件夹中,都有How to Back your Files,如何找回你的文件。所有文件后缀都被自动更改为.Tiger865qqz。
病毒名称:Globelmposter“十二生肖”2.0版本
病毒性质:勒索病毒
影响范围:多省市多行业发现感染案例,医疗行业感染最严重,政企业。
危害等级:高危
传播方式:通过社会工程、RDP暴力破解,弱密码,共享文件端口等方式攻击
病毒特点:1.病毒运行后会关闭保护和数据库进程。2.全盘加密指定类型文件。3.创建勒索信息文件。4.自删除。
病毒描述:
Globelmposter“十二生肖”2.0版本的勒索信息如下,有两个版本,以下是英文版勒索信息。
双击打开How to Back your Files,出现如下所示的勒索信息。
上面的提示意思是说:
1、YOUR FILES ARE ENCRYPED:您的文件被加密了。
2、TO DECRYPT,FOLLOW THE INSTRUCTIONS BELOW:请按照下面的说明进行解密。
3、To recover data you need decrypt tool:恢复数据您需要解密程序。
4、To get the decrypt tools you should:获得解密程序您需要。
5、Send1 crypted test image or text file or document to
China.Helper@aol.com
发送一个被加密的测试文件(图片或者文档)到邮箱China.Helper@aol.com。
6、In the letter include your personal ID(look at the beginning of thisdocument.)Send me this ID in your first email to me.
We will give you free text for decrypt few files(NOT VALUE) and assign theprice for decryption all files .After we send you instruction how to pay fordecrypt too; and after payment you will receive a decrypted tool andinstruction how to use it We can decrypt few files in quality the evidence thawe have the decoder.
邮件内容需要包含您的个人ID(请看文档开始的ID).
我们将会解密测试文件并给出解密全部文件的价格。
然后我们会告诉您如何购买解密程序,支付解密费用后您将受到解密程序和使用说明。我们解密一个文件是为了证明我们拥有解码器。
7、MOSTIMPORTANT!!!
非常重要!!!
8、Donot contace others services that promise to decrypt your files, this is fraudon their part! They will buy a decoder from us ,and you will paymore for his services .No one, except China.Helper@aol.com,will decrypt your files.
不要联系其他保证能解密您文件的人,他们是在欺骗您!他们需要从我们这里购买解码器,而且您需要为此支付更多的费用。
加密码的ID就是上面的这串数字。
Mw QY dC Cj TW yD P6 i9 LC Yk pY hE K0 gK dp lb
B3 p/ Rd 9O Xi eZ U2 SW k8 Y3 5t /F si ZI Hf w1
x5 ey br 4h /h Jl 7w Jk iN 6S it Hw o7 Qe dM RI
m4 4N Ne AJ Hq hY Oy tS CK hX od dn e/ Yh uC hI
Vd QR Oi OM Oj o/ 0/ q2 fL o4 a6 dl vU li in lL
s bo El dv Rh dA 6F Gh dv na /J Am Bo 9o q9 GJ
5e 8F HT 5C 42 xy lA 1O yh 4x ST i/ cN wA a7 7
dg jy 68 Jg hs oa 80 By yp 3j El j5 gJ 9M P9 GI
Uc gv vE BC cs 4D S6 Gz /J dZ 9f tL gm DB fL mG
gX XJ mY W4 L0 wK Nm b3 Dg ht DE OP k3 zk tb nQ
iR ED o7 lm XO 3H c8 pj ue RY TE rx bY I1 uW uH
rA LD Xr rc lB hU y7 jX wJ Dv PF 9V 0M y3 h4 j0
tQ mt /r 4T Vb cp Ig 9z XJ Sc XZ jq rH QL ll Fb
Q5 ur T4 aK wu Qb OP FQ 5x FK 3N w5 o 9T Ly Ri
yI bl WQ bJ LZ Ar hh E8 af B7 WS 0l Se cK oe xM
s6 gk gr CG Fh cv lr zH go Nr IZ 8M DR pj 4i /B
Ya I 7P q5 57 yh lr 5e Nd DY l8 NP zx M7 p8 nm
UE 9o I9 iK E4 OE rI dY AB IY yG ba Cg kb F5 jl
1l PX sZ tN c/ GO 0h MI j3 NE V By Bl NL m7 cS
mz zZ Rb VX ig JE Aq ah 8 ZH WV gm t0 5l Ui Z1
l/ 4q XV tS UT rU U1 BI F Vo e9 ok aw oQ cy 7J
dC Dq AM e2 fF s=
GlobelmposterV2病毒,截止目前,任何机构是无法解密的。
GlobelmposterV2,十二生肖 2.0版本。
Globelmposter“十二生肖”2.0版本加密后缀以十二生肖 865qq的方式出现,分别有:
Pig865qq、Rooster865qq、Tiger865qq、
Dragon865qq、Snake865qq、Rat865qq、
Horse865qq、Dog865qq、Monkey865qq、
Rabbit865qq、Goat855qq等
早在18年8月份,Globelmposter“十二生肖”1.0版本,也就是Globelmposter3.0,其加密后缀以*4444为主要特征,典型后缀包括:
Dragon4444(龙)、Pig4444(猪)、
Tiger4444(虎)、Snake4444(蛇)、
Rooster4444(鸡)、Rat4444(鼠)、
Horse4444(马)、Dog4444(狗)、
Monkey4444(猴)Rabbit4444(兔)、
Goat4444(羊)等
一旦被勒索,将导致业务中断,造成的损失不可估量,这又会导致这个行业的受害者为了快速恢复业务,而选择给黑客支付赎金的方式。
所以现阶段勒索病毒都会使用RSA等非对称加密,用户要定期对重要文件离线备份。一旦被加密,如果很重要文件,只能通过支付赎金来恢复。但就算支付赎金,也不定会给你秘钥解密。
预防策略:
1、公司服务器电脑不要使用相同的账号和口令,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
2、设置强密码登录口令要有足够的长度和复杂性,并定期更换登录口令,避免黑客利用弱口令暴力破解。
3、重要资料的共享文件夹应设置访问权限控制,并进行定期备份移动硬盘,对重要的数据文件定期进行非本地备份。
4、定期检测系统和软件中的安全漏洞,对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行,软件及时打上补丁,修复漏洞。
5、定期到服务器检查是否存在异常。
6、如果已经感染病毒,建议尽快对感染主机进行断网隔离。
7、不要点击来源不明的邮件附件,不从不明网站下载软件。
8、尽量关闭不必要的文件共享权限,业务上无需使用RDP的,建议关闭RDP,尽量关闭445,135,139,3389等不必要的端口。
9、使用安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。
10、电脑服务器安装杀毒软件,及时更新病毒库版本。
11、加强内部人员网络安全意识培训,降低安全风险。
联系客服
