简介
此报告列举的是“十二主神”GlobeImposter系列勒索病毒常见名单,文件修复率预计在90%-99%,更多信息如下。
此勒索病毒近期最为活跃的有:Alpha865qqz,Pig865qqz,Artemis865,Tiger865qqz,Delta865qqz,Snake865qqz,Hades865
病毒通常首先会禁用Windows defender微软安全软件和其他杀毒软件,防止病毒程序被其删除、添加系统自启动、删除磁盘卷影、停止数据库服务、挂载卷、遍历卷和网络共享资源并加入链表。
现阶段勒索病毒都会使用RSA等非对称加密除系统文件以外的所有文件,然后自删除加密程序。加密后案例如下图
常见名单
.Ox4865qqz
.Alpha865qqz .Artemis865 .ALCO865qqz
.BIP865qqz
.COMBO865qqz .China865qqz
.Dragon865qqz .Dog865qqz .Delta865qqz
.Goat865qqz
.Help865qqz .Horse865qqz
.KRAB865qqz
.Monkey865qqz
.Pig865qqz
.Rat865qqz .Rooster865qqz .Rabbit865qqz .RESERVE865qqz
.Snake865qqz
.Tiger865qqz
历史部分名单
.Apollo865 .Ares865 .Aphrodite865 .Apollo865qq .Ares865qq .Artemis865qq .Aphrodite865qq
.Dionysus865 .Demeter865 .Dionysus865qq .Demeter865qq
.Hephaestus865 .Hades865 .Hera865 .Hephaestus865qq .Hera865qq .Hades865qq
.Poseidon865 .Persephone865 .Poseidon865qq .Persephone865qq
.Zeus865 .Zeus865qq
病毒感染途径
1. 网络钓鱼电子邮件:单击嵌入在电子邮件中的链接,该链接将重定向到恶意网页。
2. 电子邮件附件:打开电子邮件附件并启用恶意宏;或下载嵌入了远程访问木_马(RAT)的文档;或下载包含恶意JavaScript或Windows脚本宿主(WSH)文件的ZIP文件。
3. 社交媒体:单击社交媒体帖子,即时通讯聊天等上的恶意链接。
4. 恶意广告:单击带有恶意代码的合法广告网站。
5. 感染程序:安装包含恶意代码的应用程序或程序。
6. 偷渡感染:访问不安全,可疑或伪造的网页;或打开或关闭弹出窗口。注意:如果将恶意JavaScript代码注入网页内容中,则可能会破坏合法网页。
7. 重定向系统(TDS):单击合法网关网页上的链接,该链接会根据用户的地理位置,浏览器,操作系统或其他过滤器将用户重定向到恶意站点。
8. 自我传播:通过网络和USB驱动器将恶意代码传播到其他设备。
9. 系统漏洞:通过系统漏洞进入windows
安全预防措施
服务器尽量不要开放外网端口。
不使用系统自带远程协助服务,使用其它远程管理软件,例如:TeamViewer或者瑞友天翼。
更改默认administrator管理帐户,禁用GUEST来宾帐户。
更改复杂密码,字母大小写,数字及符号组合的密码,不低于15位字符。
打好系统安全补丁,尤其是一些重要的,如MS17010等。
服务器不要有访问及修改内网计算机文件夹的权限。
尽量关闭不必要的文件共享权限,尽量关闭445,135,139,3389等不必要的端口
设置帐户锁定策略,在输入5次密码错误后禁止登录。
安装杀毒软件并及时更新病毒库版本,设置退出或更改需要密码,防止***进入关闭杀毒软件。
定期的一个数据异地备份,如是云服务器,一定要做好快照。(重中之重)
加强内部人员网络安全意识培训,降低安全风险。
来源:oschina
链接:https://my.oschina.net/u/4279418/blog/4473424