国家计算机病毒应急处理中心通过对互联网的监测发现,近期多地发生GlobeImposter勒索病毒事件,经分析,攻击者在突破边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒。此攻击团伙主要攻击开启远程桌面服务的服务器,利用密码抓取工具获取管理员密码后对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。病毒感染后的主要特征包括windows 服务器文件被加密、且加密文件的文件名后缀为*.RESERVE。根据本次事件特征分析,除已受到攻击的单位外,其它同类型单位也面临风险,需要积极进行防范。
勒索病毒之前的传播手段主要以钓鱼邮件、网页挂马、漏洞利用为主,例如Locky在高峰时期仅一家企业邮箱一天之内就遭受到上千万封勒索钓鱼邮件攻击。然而,从2016年下半年开始,随着Crysis/XTBL的出现,通过RDP弱口令暴力破解服务器密码人工投毒逐渐成为主角。到了2018年,几个影响力最大的勒索病毒几乎全都采用这种方式进行传播,这其中以GlobeImposter、Crysis为代表,感染用户数量最多,破坏性最强。
针对该勒索病毒所造成的危害,建议用户对已受感染的服务器进行下线隔离并联系专业技术服务机构进行日志及样本分析。对于未受感染的服务器需要在网络边界防火墙上全局关闭3389端口或将3389端口设定为只对特定IP开放,同时开启Windows防火墙,尽量关闭3389、445、139、135等无需使用的高危端口,且每台服务器终端杜绝使用弱口令,设置复杂密码,以避免遭受该勒索病毒的感染,造成严重的损失。