浪潮SSR安全技術(shù)團(tuán)隊(duì)在第一時(shí)間針對(duì)GlobeImposter傳播和感染的原理��,在SSR5.0版本中進(jìn)行了防護(hù)效果驗(yàn)證。目前,SSR5.0版本的主動(dòng)防御功能和應(yīng)用程序管控功能均有較好的防護(hù)效果。
新病毒采用更強(qiáng)加密算法,無秘鑰文件無法恢復(fù)
本次爆發(fā)的GlobeImposter勒索病毒�����,采用RSA和AES兩種加密算法的結(jié)合��,加密磁盤文件并將后綴名篡改為.Techno��、.DOC、.CHAK��、.FREEMAN����、.TRUE、.RESERVE等?�,F(xiàn)已確認(rèn),在沒有病毒作者私鑰的情況下無法恢復(fù)被加密的文件���。最終該病毒將引導(dǎo)受害者通過郵件與勒索者進(jìn)行聯(lián)系��,要求受害者將被加密的圖片或文檔發(fā)送到指定的郵箱進(jìn)行付費(fèi)解密�。
勒索軟件在加密文件的同時(shí)創(chuàng)建了勒索信息文件how_to_back_files.html�,要求受害者將一個(gè)加密的圖片或文檔發(fā)送到指定的郵箱,由于加密的文件末尾包含個(gè)人ID�����,攻擊者可以通過個(gè)人ID及其手中的RSA私鑰解出用以解密文件的私鑰�����,這樣就可以識(shí)別不同的受害者�。攻擊者會(huì)給出解密后的文件及解密所有文件的價(jià)格,在受害者付款后����,攻擊者會(huì)發(fā)送解密程序。
浪潮SSR可有效防護(hù)GlobeImposter勒索病毒
浪潮安全團(tuán)隊(duì)采用SSR5.0版本對(duì)GlobeImposter樣本進(jìn)行防護(hù)對(duì)比驗(yàn)證�����。驗(yàn)證環(huán)境中部署了三臺(tái)Win7操作系統(tǒng)的服務(wù)器,其中服務(wù)器A不安裝SSR���,服務(wù)器B安裝SSR并開啟主動(dòng)防護(hù)功能���,服務(wù)器C安裝SSR并開啟應(yīng)用程序管控功能。三臺(tái)設(shè)備配置信息如下表所示:
驗(yàn)證設(shè)備配置信息
1���、服務(wù)器A中執(zhí)行GlobeImposter樣本
因服務(wù)器A中未部署SSR客戶端�,在執(zhí)行GlobeImposter樣本后��,原文本文件test1.txt被加密����,并將后綴名修改為.doc。此外����,因文本文件text2.txt為空��,根據(jù)GlobeImposter文件加密過濾規(guī)則���,將不對(duì)空文件進(jìn)行加密��,即下圖所示text2.txt并未被加密���。
在被加密文件的目錄(此處截圖為桌面)生成勒索文件信息Read_ME.html��,用于用戶支付贖金接口�。
未部署SSR的服務(wù)器A遭受GlobeImposter攻擊
2����、服務(wù)器B中執(zhí)行GlobeImposter樣本
服務(wù)器B部署SSR客戶端,并開啟了主動(dòng)防御功能����,其他功能暫不開啟,主要驗(yàn)證主動(dòng)防御功能是否可阻止GlobeImposter發(fā)作�����。
在服務(wù)器B中執(zhí)行GlobeImposter樣本���,暫時(shí)未發(fā)現(xiàn)異常���。查看任務(wù)管理器,發(fā)現(xiàn)GlobeImposter.exe已經(jīng)執(zhí)行��,但桌面上的text.txt被未被加密,也未產(chǎn)生生成勒索文件信息Read_ME.html�����。
GlobeImposter.exe樣本在服務(wù)器B中執(zhí)行情況
SSR集中管理平臺(tái)中主動(dòng)防御功能監(jiān)控界面的攔截日志顯示����,SSR主動(dòng)防御功能攔截了GlobeImposter.exe在temp目錄中創(chuàng)建system.dll文件(勒索軟件的變種不同,釋放的dll可能不同)���。這主要是因?yàn)橹鲃?dòng)防御功能內(nèi)置了相應(yīng)的安全策略——禁止在系統(tǒng)目錄C盤中創(chuàng)新任何dll動(dòng)態(tài)庫��,該策略可阻止勒索軟件啟動(dòng)時(shí)在系統(tǒng)目錄釋放可執(zhí)行文件和動(dòng)態(tài)庫����,防止其后續(xù)的加密操作���。
SSR主動(dòng)防御功能攔截system.dll創(chuàng)建日志
此外��,SSR主動(dòng)防御功能還內(nèi)置多種安全策略�,可阻止非授權(quán)在系統(tǒng)目錄中創(chuàng)建如exe���、dll��、com����、sys等后綴的可執(zhí)行文件���,保證系統(tǒng)不被惡意代碼攻擊��。如果客戶服務(wù)器除了C盤還有其他盤�����,建議配合應(yīng)用程序管控一起使用���,這將有更好的防護(hù)效果。
3���、服務(wù)器C中執(zhí)行GlobeImposter樣本
服務(wù)器C部署SSR客戶端����,并開啟了應(yīng)用程序管控功能(軟件白名單)�,其他功能暫不開啟,主要驗(yàn)證應(yīng)用程序管控功能是否可阻止GlobeImposter發(fā)作��。
在執(zhí)行GlobeImposter前,已經(jīng)對(duì)服務(wù)器C進(jìn)行白名單采集��。在服務(wù)器C中執(zhí)行GlobeImposter樣本后���,系統(tǒng)直接彈出該程序無法執(zhí)行的提示����。
GlobeImposter.exe樣本在服務(wù)器C中執(zhí)行情況
打開SSR集中管理平臺(tái)中應(yīng)用程序管控功能監(jiān)控界面�����,從程序運(yùn)行狀態(tài)中可以發(fā)現(xiàn)GlobeImposter.exe的信任級(jí)別為未知�����,在正常運(yùn)行模式下�����,如果應(yīng)用程序管控功能識(shí)別到程序?yàn)槲粗蚝诿麊?���,SSR將直接阻止程序的執(zhí)行,如果識(shí)別為白名單或灰名單�,程序?qū)⒖梢詧?zhí)行�。從程序管控事件中可以看出出���,SSR應(yīng)用程序管控功能阻止了GlobeImposter.exe樣本的執(zhí)行。
SSR應(yīng)用程序管控?cái)r截GlobeImposter.exe啟動(dòng)操作
從GlobeImposter傳播和感染的原理��,以及實(shí)際驗(yàn)證的情況來看����,SSR5.0版本主動(dòng)防御功能和應(yīng)用程序管控功能均有較好的防護(hù)效果。針對(duì)GlobeImposter發(fā)作的各個(gè)階段�����,SSR提供了多維度的防護(hù)功能�����。
SSR相應(yīng)功能防護(hù)說明
防護(hù)勒索病毒�����,浪潮安全專家支招
對(duì)于近期泛濫的GlobeImposter勒索病毒家族����,浪潮安全專家給出了有效防護(hù)的建議:
避免在服務(wù)器中使用過于簡單的口令����。登錄口令盡量采用大小寫字母�����、數(shù)字�����、特殊符號(hào)混用的組合方式�,并且保持口令由足夠的長度。同時(shí)添加限制登錄失敗次數(shù)的安全策略并定期更換登錄口令����。多臺(tái)機(jī)器不要使用相同或類似的登錄口令,以免出現(xiàn)“一臺(tái)淪陷�����,全網(wǎng)癱瘓”的慘狀�����。重要資料一定要定期隔離備份。此處尤其注意隔離���,在以往的反饋案例中從來不乏確有備份�����,但由于在同一網(wǎng)絡(luò)內(nèi)����,導(dǎo)致備份服務(wù)器一同被加密的情況����。及時(shí)修補(bǔ)系統(tǒng)漏洞���,同時(shí)不要忽略各種常用服務(wù)的安全補(bǔ)丁���。關(guān)閉非必要的服務(wù)和端口如135、139�、445、3389等高危端口��。嚴(yán)格控制共享文件夾權(quán)限���,在需要共享數(shù)據(jù)的部分�����,盡可能的多采取云協(xié)作的方式����。提高安全意識(shí),不隨意點(diǎn)擊陌生鏈接�����、來源不明的郵件附件���、陌生人通過即時(shí)通訊軟件發(fā)送的文件��,在點(diǎn)擊或運(yùn)行前進(jìn)行安全掃描�����,盡量從安全可信的渠道下載和安裝軟件���。
