遭遇GlobeImposter勒索病毒襲擊后文件被加密為.WALKER擴(kuò)展名怎么辦

遭遇GlobeImposter勒索病毒襲擊后文件被加密為.WALKER擴(kuò)展名怎么辦，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

GlobeImposter勒索病毒在一段時(shí)間內(nèi)并無實(shí)質(zhì)性技術(shù)更新，近日在部分企業(yè)內(nèi)網(wǎng)爆發(fā)，對(duì)個(gè)人電腦用戶影響較小。我們提醒企業(yè)用戶高度重視近期GlobeImposter勒索病毒的破壞行為，提前備份關(guān)鍵業(yè)務(wù)系統(tǒng)，避免遭遇勒索病毒破壞之后業(yè)務(wù)系統(tǒng)出現(xiàn)嚴(yán)重?fù)p失。

對(duì)于已經(jīng)中毒的系統(tǒng)，建議在內(nèi)網(wǎng)下線處理，病毒清理完畢才能重新接入網(wǎng)絡(luò)。內(nèi)網(wǎng)其他未中毒的電腦，使用弱口令登錄的建議盡快修改，使用由字母、數(shù)字和特殊字符組合的復(fù)雜密碼，避免攻擊者暴力破解成功（企業(yè)網(wǎng)管可配置強(qiáng)制使用強(qiáng)壯密碼，杜絕使用弱密碼登錄）。

及時(shí)修復(fù)操作系統(tǒng)補(bǔ)丁，避免因漏洞導(dǎo)致攻擊入侵事件發(fā)生；終端用戶若不使用遠(yuǎn)程桌面登錄服務(wù)，建議關(guān)閉；局域網(wǎng)內(nèi)已發(fā)生勒索病毒入侵的，可暫時(shí)關(guān)閉135，139，445端口（暫時(shí)禁用Server服務(wù)）以減少遠(yuǎn)程入侵的可能。

影響評(píng)級(jí)

高危，黑客首先會(huì)入侵企業(yè)內(nèi)網(wǎng)，之后再通過暴力破解RDP和SMB服務(wù)在內(nèi)網(wǎng)繼續(xù)擴(kuò)散。除個(gè)別文件夾外，都被加密，除非得到密鑰，受損文件無法解密還原。

影響面

Windows系統(tǒng)的電腦會(huì)被波及，目前，御見威脅情報(bào)中心發(fā)現(xiàn)廣東、河南、黑龍江等地已有多個(gè)企業(yè)受害，預(yù)計(jì)近期還會(huì)有增加。

樣本分析

1. 入侵分析

從某感染用戶機(jī)器上可以看到，8月25日至8月26日凌晨有大量445端口爆破記錄

攻擊源是內(nèi)網(wǎng)中非本地區(qū)的某臺(tái)機(jī)器，顯示該企業(yè)內(nèi)各地分公司都已存在相應(yīng)風(fēng)險(xiǎn)。

2. 樣本分析

加密算法說明

勒索病毒使用了RSA+AES加密方式，加密過程中涉及兩對(duì)RSA密鑰(分別為黑客公私鑰和用戶公私鑰，分別用hacker_rsa_xxx和user_rsa_xxx表示這兩對(duì)密鑰)和一對(duì)AES密鑰。黑客RSA密鑰用于加密用戶RSA密鑰，用戶RSA密鑰用于加密AES密鑰，AES密鑰用于加密文件內(nèi)容。

具體的加密過程為：

勒索病毒首先解碼出一個(gè)內(nèi)置的RSA公鑰(hacker_rsa_pub)，同時(shí)對(duì)每個(gè)受害用戶，使用RSA生成公私鑰（user_rsa_pub和user_rsa_pri），其中生成的密鑰信息使用內(nèi)置的RSA公鑰(hacker_rsa_Public)進(jìn)行加密后，作為用戶ID。在遍歷系統(tǒng)文件，對(duì)符合加密要求的文件進(jìn)行加密。對(duì)每個(gè)文件，通過CoCreateGuid生成一個(gè)唯一標(biāo)識(shí)符，并由該唯一標(biāo)識(shí)符最終生成AES密鑰(記為file_aes_key)，對(duì)文件進(jìn)行加密。在加密文件的過程中，該唯一標(biāo)識(shí)符會(huì)通過RSA公鑰 (user_rsa_pub) 加密后保存到文件中。

黑客在收到贖金、用戶ID和文件后，通過自己的私鑰(hacker_rsa_pri)解密用戶ID,可以得到user_rsa_pri，使用user_rsa_pri解密文件，就可以得到文件的file_aes_key，進(jìn)而可以通過AES算法解密出原始文件。

3. 自啟動(dòng)分析

惡意代碼樣本為了防止被輕易地分析，加密了大多數(shù)字符串和一部分API，運(yùn)行后會(huì)在內(nèi)存中動(dòng)態(tài)解密，解密后可以看到樣本在加密時(shí)排除的文件夾與后綴名。首先獲取環(huán)境變量“%LOCALAPPADATA%”、“%APPDATA%”的路徑，若獲取不到則退出；獲取到后，將自身拷貝到該目錄下，然后添加自啟動(dòng)項(xiàng)。

復(fù)制之后，將路徑寫到以下注冊表項(xiàng)中

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck，使得自身能夠開機(jī)自啟動(dòng)

4. 加密過程分析

獲取當(dāng)前機(jī)器上每個(gè)盤符：

對(duì)每個(gè)盤符分別創(chuàng)建一個(gè)線程，進(jìn)行文件加密

加密文件前，首先會(huì)過濾掉后綴為.WALKER，文件名為HOW_TO_BACK_FILES.html以及保存用戶ID的文件，此外還會(huì)過濾掉如下路徑下的文件：

然后進(jìn)行加密

GlobeImposter對(duì)文件的加密使用的是AES加密算法。AES加密的KEY在本地隨機(jī)生成。首先AES加密時(shí)的IV參數(shù)由當(dāng)前文件的大小和文件路徑共同生成。IV參數(shù)將MD(filesize|| filename )后取前16位。

將IV與另外生成的secret key使用MBEDTLS_MD_SHA256計(jì)算2次HASH，并將HASH結(jié)果做為AES加密的KEY

隨后，使用內(nèi)置的RSA公鑰將guid進(jìn)行加密，并將加密過的guid及用戶ID寫入到當(dāng)前文件中。

最后用AES加密文件內(nèi)容

5. 自刪除分析

通過調(diào)用CMD /c del，來進(jìn)行自刪除

在Temp目錄下，釋放.bat腳本文件，主要用來刪除遠(yuǎn)程桌面連接信息文件default.rdp，并通過wevtutil.exe cl命令刪除日志信息

解密出來的bat文件內(nèi)容如下

@echo offvssadmin.exe Delete Shadows /All /Quietreg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /freg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /freg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"cd %userprofile%\documents\attrib Default.rdp -s -hdel Default.rdp for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

解決方案

1. 全網(wǎng)安裝專業(yè)的終端安全管理軟件，由管理員批量殺毒和安裝補(bǔ)丁，后續(xù)定期更新各類系統(tǒng)高危補(bǔ)丁。 

2. 部署流量監(jiān)控/阻斷類設(shè)備/軟件，便于事前發(fā)現(xiàn)，事中阻斷和事后回溯。

3. 建議由于其他原因不能及時(shí)安裝補(bǔ)丁的系統(tǒng)，考慮在網(wǎng)絡(luò)邊界、路由器、防火墻上設(shè)置嚴(yán)格的訪問控制策略，以保證網(wǎng)絡(luò)的動(dòng)態(tài)安全。

4. 建議對(duì)于存在弱口令的系統(tǒng)，需在加強(qiáng)使用者安全意識(shí)的前提下，督促其修改密碼，或者使用策略來強(qiáng)制限制密碼長度和復(fù)雜性。 

5. 建議對(duì)于存在弱口令或是空口令的服務(wù)，在一些關(guān)鍵服務(wù)上，應(yīng)加強(qiáng)口令強(qiáng)度，同時(shí)需使用加密傳輸方式，對(duì)于一些可關(guān)閉的服務(wù)來說，建議關(guān)閉不要的服務(wù)端口以達(dá)到安全目的。不使用相同口令管理多臺(tái)關(guān)鍵服務(wù)器。

6. 建議網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員關(guān)注安全信息、安全動(dòng)態(tài)及最新的嚴(yán)重漏洞，攻與防的循環(huán)，伴隨每個(gè)主流操作系統(tǒng)、應(yīng)用服務(wù)的生命周期。

7. 建議對(duì)數(shù)據(jù)庫賬戶密碼策略建議進(jìn)行配置，對(duì)最大錯(cuò)誤登錄次數(shù)、超過有效次數(shù)進(jìn)行鎖定、密碼有效期、到期后的寬限時(shí)間、密碼重用等策略進(jìn)行加固設(shè)置。

8.  建議對(duì)數(shù)據(jù)庫的管理訪問節(jié)點(diǎn)地址進(jìn)行嚴(yán)格限制，只允許特定管理主機(jī)IP進(jìn)行遠(yuǎn)程登錄數(shù)據(jù)庫。

為防止黑客入侵，需要更加完善的防護(hù)體系：各終端使用專業(yè)殺毒軟件，防止病毒攻擊。對(duì)于管理者而言，可以使用集終端殺毒統(tǒng)一管控、修復(fù)漏洞統(tǒng)一管控，以及策略管控等全方位安全管理功能于一體的安全產(chǎn)品，以便全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護(hù)企業(yè)安全。

除此之外，在內(nèi)網(wǎng)部署高級(jí)威脅檢測系統(tǒng)、態(tài)勢感知平臺(tái)和網(wǎng)絡(luò)空間風(fēng)險(xiǎn)雷達(dá)等產(chǎn)品，有助于在終端安全、邊界安全、網(wǎng)站監(jiān)測、統(tǒng)一監(jiān)控方面建立一套集風(fēng)險(xiǎn)監(jiān)測、分析、預(yù)警、響應(yīng)和可視化為一體的安全體系，全方位立體化保障企業(yè)用戶的網(wǎng)絡(luò)安全，及時(shí)阻止黑客入侵。

為防止遭勒索病毒攻擊，各企業(yè)用戶應(yīng)及時(shí)給服務(wù)器打好安全補(bǔ)丁，盡量關(guān)閉不必要的文件共享、端口和服務(wù)，采用高強(qiáng)度的唯一服務(wù)器帳號(hào)/密碼并定期更換，對(duì)沒有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問設(shè)置訪問控制，在終端電腦上使用騰訊 御點(diǎn)防御病毒木馬攻擊。

同時(shí)，推薦企業(yè)用戶關(guān)鍵業(yè)務(wù)配置備份系統(tǒng)，將重要業(yè)務(wù)數(shù)據(jù)創(chuàng)建多個(gè)備份和異地備份，避免備份數(shù)據(jù)也被勒索病毒破壞。一旦有病毒感染事件發(fā)生，也可快速恢復(fù)重建業(yè)務(wù)系統(tǒng)，避免重大損失發(fā)生。

個(gè)人用戶可及時(shí)安裝操作系統(tǒng)漏洞補(bǔ)丁，安全備份重要數(shù)據(jù)及文件，同時(shí)開啟文檔守護(hù)者以免遭勒索病毒破壞。

MD5

06cf8bdf3c3a3dbe7c054cb4ff98b28f

同源病毒樣本MD5（區(qū)別僅在加密的文件后輟不同）

8fd381a971872db6e8e67c838070c49f

9f5d9e2b4ebb9ffe10ca665bd3007562

8cabf7aad09357ff658e078c01d41dd2

1b63d6f158e306e095d39de60b2ae4ec

cb379148ae15024738913e5853f19381

74dfac6a06795a4a0eed158f47eead7b

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝您對(duì)億速云的支持。