勒索病毒解密专家中国复旦解密
复旦解密公司,接到杭州某设计单位信息主任的电话,局域网中有12台服务器出现问题,全部有用的文件和数据库被增加all4444的后缀全部不能正常使用,根据安全公司的认定是中了勒索病毒,得知我们复旦解密可以处理这个问题直接给我们打电话来咨询。
我们派出了距离该公司最近的杭州办事处的工程师前往分析问题。复旦解密现场勘查报告:
中毒台数14台,两台备份机器 丢弃 只处理12台
其中文件服务器2台,数据量20T
应用数据库6台,数据1.4T 数据库有orcle和sql
应用服务器6台,数据426G
财务服务器2台金蝶erp1台
处理时间 6个小时成功率99%付款方式对公 签订合同
现场图片:
复旦解密描述病毒特征:
复旦解密成功破解最近一段时间,.COMBO和Dragon4444勒索病毒横行霸道, 每天被加密勒索的企业太多了。
.COMBO 跟以前的.BIP .JAVA 等加密方法类似 都是加密数据库0-32个块(每块按8192字节计算) 对于这种加密 一般
恢复数据库数据大部分可以无损;
至于最近出来的 .XX4444加密 跟前面的ALCO加密一个方式 都是从0块开始加密 每隔8192字节加密下一个块,一般加密到319块 共加密160个块。
另外尾部是向前同样方案加密160个块。 这种可以参考同样的结构库 或者好的备份 来恢复数据, 会有损 但总体效果可以.
还有 最近遇到 .NOBAD 扩展名加密,是个狠角色,有的数据库文件被加密前4096个块,。有的被加密前面2048个块。 如果没有好的结构库或者老备份 那么恢复会比较难办.
难办归难办 如果不想联系×××,我们还是可以恢复需要的数据.
oralce mssql mysql mongodb postgresql 等等数据库文件或者备份都可以通过恢复手段恢复数据,无需联系×××
近日,复旦解密发现Globelmposter勒索病毒已经更新到3.0变种,受影响的系统,数据库文件被加密破坏,病毒将加密后的文件重命名为.Ox4444扩展名,并要求用户通过邮件沟通赎金跟解密密钥等。目前国内多家大型医院中招,呈现爆发趋势。深信服紧急预警,提醒广大用户做好安全防护,警惕Globelmposter 勒索。
病毒名称:Globelmposter3.0 变种
病毒性质:勒索病毒
影响范围:已有多家医院中招,呈现爆发趋势
危害等级:高危
病毒分析
病毒描述
Globelmposter 勒索病毒今年的安全威胁热度一直居高不下。早在今年2月全国各大医院已经爆发过Globelmposter2.0勒索病毒×××,×××手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化,有:.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE,.ALC0、.ALC02、.ALC03、.RESERVE等。最新Globelmposter3.0变种后缀为.Ox4444。
这次爆发的样本为Globelmposter3.0家族的变种,其加密文件使用Ox4444扩展名,由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,文件被加密后会被加上Ox4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及×××的联系方式等。
复旦解密提示病毒本体为一个win32 exe程序,病毒运行后会将病毒本体复制到%LOCALAPPDATA%或%APPDATA%目录,删除原文件并设置自启动项实现开机自启动,注册表项为
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck。
加密勒索
加密对象:可移动磁盘,固定磁盘,网络磁盘三种类型的磁盘。
病毒防御
勒索病毒解密领军企业 复旦解密提示大家
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
4、Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议),如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
5、复旦服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护
咨询与服务
您可以通过以下方式联系我们,获取关于Globelmposter的免费咨询及支持服务:
1)拨打电话151-691-21444(已开通勒索软件专线)
原文地址:http://blog.51cto.com/13976122/2280962