文章图片
【快讯】
近日 ， 根据“火绒威胁情报系统”监测 ， 火绒发现多起黑客入侵企业服务器后投放Globelmposter勒索病毒的恶性事件 。 目前 ， 相关攻击已被火绒拦截 。 但是通过火绒工程师持续追踪发现 ， 黑客攻击所使用的脚本与勒索病毒样本还在持续更新中 ， 不排除后续黑客还会尝试其它渗透方式达到攻击的目的 。


文章图片
通过溯源分析 ， 发现上述多起攻击流程极为相似：黑客通过弱口令等方式入侵SQLServer服务器 ， 然后通过SQLServer服务启动cmd.exe来执行powershell脚本 ， 最终下载运行勒索病毒程序 。 目前 ， 在这一系列的入侵到投放运行勒索病毒的攻击链中 ， 火绒均有对应的防御功能进行拦截、查杀 。
春节假期临近 ， 在此 ， 我们也慎重的提醒广大用户 ， 尤其是企业服务器管理人员 ， 面对此类持续不断甚至可以随时更新的链式攻击 ， 应当安装可靠的安全软件 ， 并特别要定期查看安全日志 ， 及时对服务器进行安全加固 ， 减少被攻击入侵的风险 。 火绒用户如发现异常日志记录 ， 可随时联系我们进行排查 。
附：【分析报告】
一、详细分析
近期 ， 火绒终端威胁情报系统监测到多次黑客入侵服务器后投放Globelmposter勒索病毒事件的相关日志 。 该类事件有着极为相似的攻击流程 ， 即黑客入侵服务器后通过SQLServer等服务启动cmd.exe来执行powershell脚本 ， 最终下载运行勒索病毒程序 。 从进程调度到恶意脚本代码运行最终到勒索病毒下载执行 ， 在这一系列的攻击链中 ， 火绒终端安全软件均可对用户电脑进行多点防护与查杀 。 经过我们持续追踪发现 ， 该黑客所使用的攻击脚本和勒索病毒样本在不断更新 ， 所以我们不排除该黑客后续使用更高威胁的渗透手段进行攻击的可能性 。 同时 ， 我们也要提醒服务器管理人员应定期查看系统安全日志 ， 及时对服务器进行安全加固 ， 减少外网入侵的风险 。 相关入侵流程如下图所示：


文章图片
入侵流程图
【留意火绒安全日志！一条勒索病毒攻击链正在持续更新和入侵】经.NET混淆的勒索病毒运行后 ， 首先会下载执行size.exe 。 相关代码如下图所示：


文章图片
下载size.exe
size.exe为了防止勒索过程中文件被其它进程占用 ， 会遍历并结束系统中数据库、聊天工具、远程管理等软件的进程与服务 。 size.exe运行时 ， 系统情况如下图所示：


文章图片
运行size.exe
该勒索病毒属于Globelmposter勒索家族 ， 采用AES算法对文件进行加密 ， 随后使用RSA算法加密AES的密钥 。 由于暂无RSA私钥 ， 所以目前无法解密 。 勒索后缀为“.Globeimposter-Alpha666qqz” 。 该勒索病毒不会对下列目录、文件或特定后缀文件进行加密 ， 相关信息如下图所示：


文章图片
不加密的文件信息
加密文件部分相关代码如下图所示：


文章图片
文件加密
根据我们持续追踪发现 ， 此次投放的勒索病毒在不断的更新外层混淆壳来对抗安全软件查杀 。 对比代码如下图所示：


文章图片
代码对比图
二、附录
病毒hash


文章图片

• 接下来需要重点留意的重磅自主SUV
• 城步消防大队深入辖区特殊学校开展消防安全培训活动
• 中国允许银行倒闭！3月8日起，哪家银行存钱最安全？看完就懂了！
• 帝豪GS车主：好看又安全
• 魅族公布15项数据，证明四大系统中，华为EMUI安全性最差
• 这几类人留意无须缴纳社保, 尽快住手, 不然交了也是白花钱
• 小行星|8：15分，撞击危险指数最高小行星飞越地球，地球和它都安全了
• 学雷锋纪念日 感恩交警护航上学路出行安全“祖国花朵”为和平交警佩戴红领巾
• 《安家》剧组采访，张萌戏少镜头多，谁留意孙佳雨？娱乐圈太现实
• 省油好开紧凑型SUV，比汉兰达还好看，全系标配8气囊，安全有保障