近日,安全团队(公众号:网安众安)发现针对财务系统的勒索病毒Globelmposterb新变种5.0已呈蔓延趋势。
其表现形式后缀为 .com}AOL, 最常见的是 .{Benjamin_Jack2811@aol.com}AOL,该病毒会攻击针对目前国内广泛应用的财务系统及财务管理软件默认端口5366(详见图一),受此病毒影响的系统,数据库文件被加密,且扩展名变成“Benjamin_Jack2811@aol.com”,目前国内多家公司财务系统已中招,并且有愈演愈烈的趋势,望广大用户做好安全防护,警惕Globelmposter 5.0勒索。
5366端口
勒索信息文件
被加密文件
Globelmposter的演变
勒索病毒Globelmposter家族首次在国内出现的时间是2017年5月; 2018年2月,该病毒再次活跃,并出现大量变种,再次在国内传播肆虐;2018.12月Globelmposter勒索病毒再次爆发且已经更新到4.0变种。Globelmposter从1.0到4.0的攻击手法都极其丰富,通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。
Globelmposter5.0加密后缀为.Benjamin_Jack2811@aol.com。由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具。此次被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的html文件,显示受害者的个人ID序列号以及黑客的联系方式等。
目前此勒索病毒激活后暂无有效的破解方法,但通过以下方式可进行有效的防范:
1、不要点击来历不明的网站,警惕网页弹窗;
2、即刻升级系统和补丁;
3、关闭不必要端口和服务,如139、445,并且加固端口和服务访问权限,如3389;
4、对重要的文件、数据库定期进行非本地备份;
5、不要使用弱密码!不要使用弱密码!不要使用弱密码!
网友评论