返回頂部
隐藏或顯示

新聞動态

News

Globelmposter勒索病毒預警:從“十二生肖”到“十二主神”,為何國内醫療行業最受傷?

/ 2019-07-10

近日,深信服安全團隊觀察到Globelmposter勒索病毒又出現最新變種,加密後綴有Ares666、Zeus666、Aphrodite666、Apollon666等。目前在國内醫療行業已發現有感染案例!

病毒名稱:Globelmposter“十二主神”版本

病毒性質:勒索病毒

影響範圍:目前國内多家醫療機構感染

危害等級:高危

傳播方式:通過社會工程、RDP暴力破解入侵

病毒描述

這些後綴中,Ares是希臘神話裡的戰神阿瑞斯,Zeus是主神宙斯,Aphrodite愛與美之女神阿佛洛狄忒,Apollon是光明、音樂、預言與醫藥之神阿波羅。以上四位均是奧林匹斯十二主神,也就是古希臘宗教中最受崇拜的十二位神。也就是目前已經出現了四個以奧林匹斯十二主神名字+666的加密後綴版本,深信服将此Globelmposter勒索病毒變種命名為Globelmposter“十二主神”版本,相信後續會不斷出現其他以希臘主神命名的新加密後綴。

在早前,深信服已經跟蹤到了Globelmposter“十二生肖”版本,也就說Globelmposter3.0,其加密後綴以*4444為主要特征,典型後綴包括十二生肖後綴Dragon4444(龍)、Pig4444(豬)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(雞)、Rat4444(鼠)、Horse4444(馬)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。

經過對比分析,确認“十二主神”版本為“十二生肖”的升級版,也就是說Globelmposter“十二主神”版本,是Globelmposter3.0的更新版本。目前該病毒變種依然無法解密,已有多家醫院的多台服務器感染病毒,業務出現癱瘓,危害巨大。

一直以來,國内一直飽受Globelmposter勒索病毒的侵害,涉及不同行業,覆蓋行業有醫療、政府、能源、貿易等行業。所不同的是,此勒索家族,對國内醫療行業危害最大,Globelmposter受感染的各個行業如下,可以看到受到Globelmposter侵害的比例,醫療行業占到47.4%,接近一半:

黑客之所以傾向于醫療行業最主要的原因是,醫療衛生行業具有很大的業務緊迫性,一旦被勒索,将導緻業務中斷,造成的損失不可估量,這又會導緻這個行業的受害者為了快速恢複業務,而選擇給黑客支付贖金的方式。此外,境外黑客勢力并不會顧及行業的特殊性和公益性,較之以往更加變本加厲,給醫療衛生行業帶來了巨大的挑戰。

比如2018年春節年後,給社會帶來惡劣影響的醫療安全事件,就是Globelmposter病毒導緻的。從此,黑客也開始不斷向醫院下手,醫療行業飽受毒害。

注:以上截圖,來自Freebuf。

尤其是,勒索病毒的傳播感染方式多種多樣,使用的技術也不斷升級,且勒索病毒主要采用RSA+AES相結合的高強度加密算法,導緻加密後的文件,多數情況下無法被解密,危害巨大。

Globelmposter勒索病毒變種通過社會工程,RDP爆破,惡意程序捆綁等方式進行傳播,加密受害主機文件,釋放勒索信息進行勒索,深信服安全團隊密切關注該勒索病毒家族的發展動态,對捕獲的變種樣本進行了詳細分析。

詳細分析

此勒索病毒為了保證正常運行,先關閉了Windows defender:

接着,創建自啟動項,啟動項命名為”WindowsUpdateCheck”:

通過執行cmd命令删除磁盤卷影、停止數據庫服務:

遍曆卷并将其挂載:

系統保留卷被挂載:

遍曆磁盤文件,其中排除以下目錄:“.”、“..”、windows、bootmgr、pagefile.sys、boot、ids.txt、NTUSER.DAT、PerfLogs;

以及以下後綴的文件:“.dll”、“.lnk”、“.ini”、“.sys”。

對其餘文件進行加密,加密後綴名比如“Ares666”:

生成勒索信息文件“HOW TO BACK YOUR FILES.txt”,文件信息如下:

加密完成後,删除自啟動項:

執行cmd命令删除自盤卷影、删除遠程桌面連接信息、清除系統日志:

最後,病毒文件進行自删除處理:

解決方案

針對已經出現勒索現象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網隔離。深信服提醒廣大用戶盡快做好病毒檢測與防禦措施,防範該病毒家族的勒索攻擊。

1、病毒檢測查殺


(1)深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載鍊接:

http://edr.juhua772874.cn/tool/SfabAntiBot_X64.7z

32位系統下載鍊接:

http://edr.juhua772874.cn/tool/SfabAntiBot_X86.7z

(2)深信服EDR産品及下一代防火牆等安全産品均具備病毒檢測能力,部署相關産品用戶可進行病毒檢測。

2、病毒防禦

(1)及時給電腦打補丁,修複漏洞。

(2)對重要的數據文件定期進行非本地備份。

(3)不要點擊來源不明的郵件附件,不從不明網站下載軟件。

(4)盡量關閉不必要的文件共享權限。

(5)更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導緻一台被攻破,多台遭殃。

(6)如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服防火牆,或者終端檢測響應平台(EDR)的微隔離功能對3389等端口進行封堵,防止擴散!

(7)深信服下一代防火牆、終端檢測響應平台(EDR)均有防爆破功能,防火牆開啟此功能并啟用11080051、11080027、11080016規則,EDR開啟防爆破功能可進行防禦。

(8)深信服下一代防火牆用戶,建議升級到AF805版本,并開啟SAVE安全智能檢測引擎,以達到最好的防禦效果。

(9)使用深信服安全産品,接入安全雲腦,使用雲查服務可以即時檢測防禦新威脅。


最後,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服安全感知+防火牆+EDR,對内網進行感知、查殺和防護。

咨詢與服務

您可以通過以下方式聯系我們,獲取關于

Globelmposter勒索病毒的免費咨詢及支持服務:

1)撥打電話400-630-6430轉6号線(已開通勒索軟件專線)

2)關注【深信服技術服務】微信公衆号,選擇“智能服務”菜單,進行咨詢

3)PC端訪問深信服區 bbs.juhua772874.cn,選擇右側智能客服,進行咨詢

©2000-2019    深信服科技股份有限公司    版權所有    粵ICP備08126214号-5

粵公網安備

粵公網安備44030502002384号

http://m.juhua772874.cn|http://wap.juhua772874.cn|http://www.juhua772874.cn||http://juhua772874.cn