亞信安全詳解病毒技術(shù)細節(jié)
Globelmposter家族首次出現(xiàn)時間為2017年5月�,近日再次活躍�����,并有大量變種來襲。亞信安全已經(jīng)攔截該家族的最新變種�,將其命名為RANSOM_FAKEGLOBE.THAOLAH。
該病毒在被感染系統(tǒng)中生成如下自身拷貝文件:
? %Application Data%\{ Malware name }.exe
為達到自啟動目的���,該病毒添加如下注冊表鍵值:
? HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce BrowserUpdateCheck = %Application Data%\{Malware name}.exe
該病毒避免加密文件名中含有下列字符串的文件:
? {Malware name }
? how_to_back_files.html
? {GUID}
該病毒避免加密下列文件夾中的文件:
? Windows
? Microsoft
? Microsoft Help
? Windows App Certification Kit
? Windows Defender
? ESET
? COMODO
? Windows NT
? Windows Kits
? Windows Mail
? Windows Media Player
? Windows Multimedia Platform
? Windows PhoneKits
? Windows Phone Silverlight Kits
? Windows Photo Viewer
? WindowsPortable Devices
? Windows Sidebar
? WindowsPowerShell
? NVIDIA Corporation
? Microsoft.NET
? Internet Explorer
? Kaspersky Lab
? McAfee
? Avira
? spytech software
? Sysconfig
? Avast
? Dr.Web
? Symantec
? Symantec_Client_Security
? system volume information
? AVG
? Microsoft Shared
? Common Files
? Outlook Express
? Movie Maker
? Chrome
? Mozilla Firefox
? Opera
? YandexBrowser
? Ntldr
? Wsus
? ProgramData
被加密后的文件擴展名為:
? crypted!
其會在加密文件路徑下�����,生成如下勒索提示信息文件:
? how_to_back_files.html
生成的勒索提示文件���,主要包括受害者個人的ID序列號和勒索者的聯(lián)系方式:
亞信安全教你如何防范
勒索病毒不可能在短期內(nèi)消失�����,網(wǎng)絡(luò)犯罪分子采取的戰(zhàn)術(shù)策略也在演變��,其攻擊方式更加多樣化��。對于勒索病毒的變種�,亞信安全建議用戶可以通過部署防火墻��、郵件網(wǎng)關(guān)等產(chǎn)品作為第一道防線���,行為監(jiān)控和漏洞防護產(chǎn)品則可以有效阻止威脅到達客戶端��。具體防范措施如下:
? 不要點擊來源不明的郵件以及附件�����;
? 及時升級系統(tǒng)����,打全系統(tǒng)補丁�����;
? 盡量關(guān)閉不必要的文件共享權(quán)限和不必要的端口����;
? 請注意備份重要文檔�����。備份的最佳做法是采取3-2-1規(guī)則����,即至少做三個副本,用兩種不同格式保存����,并將副本放在異地存儲;
? 亞信安全病毒碼版本13.992.60 �����,云病毒碼版本13.992.71,全球碼版本13.991.00已經(jīng)可以檢測到該病毒����,請用戶及時升級病毒碼版本;
? 亞信安全終端安全產(chǎn)品OfficeScan具有勒索病毒防御功能(AEGIS)��,可以有效阻攔勒索病毒對用戶文件加密�����;
? 亞信安全郵件安全網(wǎng)關(guān)產(chǎn)品��,可以有效攔截勒索病毒郵件��,做到在源頭上進行阻斷攔截�����。
