發布編號

NCCST-ANA-2019-0052

發布時間

Wed May 08 10:41:55 CST 2019

事件類型

攻擊活動預警

發現時間

Wed May 01 00:00:00 CST 2019

警訊名稱

近期 GlobeImposter3.0 勒索軟體活動頻繁， 請提高警覺

內容說明

GlobeImposter 常見傳播方法是透過夾帶附件的社交工 程郵件、攻擊可能具有漏洞的 Port(3389 、 445 、 139 及 135)或放置惡意廣告於網站頁面。 若遭到該勒索軟體加密，副檔名將變為 Ox4444 、 dragon4444 或 skunk4444 等以 4444 結尾之字 串，並會生成 HOW_TO_BACK_FILES 文字檔， 內容顯示受駭電腦的識別序號與駭客的聯繫方式等。

影響等級

中

建議措施

1. 刪除收到的可疑電子郵件，特別是內含連結或附件的郵件。

2. 針對要求啟動巨集以觀看其內容的微軟 Office 檔案，必須提高警覺，必要時請與寄件者確認其檔案是否含有巨集。

3. 停用瀏覽器 Java Script 與 Flash 功能， 並避免在公務主機上瀏覽非公務用相關網頁。

4. 關閉不需使用的 Port(3389 、 445 、 139 及 135 等) ，並明確切割各業務使用之內部網路與外部網路網段。

5. 定期備份電腦上的檔案及演練資料還原程序， 避免使用複寫或本機備份方式。

6. 確實持續更新電腦的作業系統、應用程式及防毒軟體等至最新版本。

7. 如不幸受到感染， 請立即將受害電腦的網路連線及外接儲存裝置拔除。 建議在清除惡意軟體前不要開啟任何檔案。

8. 我們不建議支付贖金，支付贖金只會助長勒索軟體更加猖獗。

參考資料

1. https://www.hkcert.org/my_url/ en/blog/18092802

2. https://securelink.net/nb-nb/ insights/threat-intelligence- report-globeimposter- ransomware/

3. https://cloud.tencent.com/ info/ 97dd960818889bbb193a220bade2f7 10.html

4. https://blog.360totalsecurity. com/en/globeimposter-which- has-more-than-20-variants-is- still-wildly-growing/