安全预警!假冒GlobeImposter勒索病毒携WinRAR突袭 伪装背后暗藏破解之道


以垃圾邮件传播攻击而闻名的“全球骗子”(GlobeImposter)又出现了。它早已成为企业和个人用户数据和系统安全不可忽视的威胁之一。它吸引了用户和攻击者的注意力,甚至是“伪造者”。

最近,腾讯安全威胁情报中心发现了一种勒索病毒,该病毒使用WinRAR加密来压缩用户文件并冒充GlobeImposter。“勒索病毒”被怀疑受到了SQL Server爆破的攻击,然后通过网络下载攻击代码(包括WinRAR加密模块),使用WinRAR对用户数据文件进行加密和压缩。随后,攻击者将盗用全球诈骗犯勒索病毒的勒索信息内容,冒充全球诈骗犯勒索病毒恐吓用户并索要报酬。

(图:使用WinRAR加密压缩文件)

这种假攻击病毒非常令人困惑,但其破坏力远低于GlobeImposter勒索病毒。腾讯安全专家分析病毒的执行代码,并在配置文件中加密和压缩WinRAR时找到明文密码。对于被招募的企业和个人用户,腾讯的安全技术专家提醒他们不要盲目支付赎金,并尝试用WinRAR解压文件。解压缩密码为lll.hc3t6b9s8kz5r26,文件可以完全恢复。同时,建议尽快修补SQLServer漏洞,使用安全密码,停止使用弱密码,防止服务器再次受到攻击。建议用户使用腾讯宇甸终端安全管理系统或腾讯电脑管家进行杀毒和实时保护。

(图:修改后的“全球诈骗犯”勒索文件)

(图:假“全球诈骗犯勒索病毒”密码解压缩)

纵观全球网络安全生态,防范和破解勒索病毒攻击一直是企业和个人用户关注的焦点。面对病毒作者将常用工具(WinRAR压缩文件)和极具破坏性的讹诈病毒(GlobeImposter)相结合来伪造和恐吓用户勒索钱财的“新戏”,腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大企业用户尽可能关闭不必要的文件共享和端口,并对重要文件和数据进行定期的非本地备份。采用高强度密码,对服务器/工作站的内部访问设置相应的控制,不需要互连。教育最终用户在下载不熟悉的邮件时要特别小心;建议在终端/服务器上部署专业安全保护软件,并在网络服务器上部署专业云安全保护服务系统,如滕循云。此外,建议整个网络配备皇家点终端安全管理系统,对终端杀毒、漏洞修复和策略管理进行全面统一的控制,有效帮助企业全面了解和管理企业内网的安全状况,保护企业安全。