返回顶部
售後咨詢

售後咨詢

隐藏或显示

新聞動態

News

Globelmposter勒索病毒預警:從“十二生肖”到“十二主神”,爲何國內醫療行業最受傷?

/ 2019-07-10

近日,凯发APP下载安全團隊觀察到Globelmposter勒索病毒又出現最新變種,加密後綴有Ares666、Zeus666、Aphrodite666、Apollon666等。目前在国内醫療行业已发现有感染案例!

病毒名稱:Globelmposter“十二主神”版本

病毒性質:勒索病毒

影響範圍:目前国内多家醫療机构感染

危害等級:高危

傳播方式:通過社會工程、RDP暴力破解入侵

病毒描述

這些後綴中,Ares是希臘神話裏的戰神阿瑞斯,Zeus是主神宙斯,Aphrodite愛與美之女神阿佛洛狄忒,Apollon是光明、音樂、預言與醫藥之神阿波羅。以上四位均是奧林匹斯十二主神,也就是古希臘宗教中最受崇拜的十二位神。也就是目前已經出現了四個以奧林匹斯十二主神名字+666的加密後綴版本,凯发APP下载將此Globelmposter勒索病毒變種命名爲Globelmposter“十二主神”版本,相信後續會不斷出現其他以希臘主神命名的新加密後綴。

在早前,凯发APP下载已經跟蹤到了Globelmposter“十二生肖”版本,也就說Globelmposter3.0,其加密後綴以*4444爲主要特征,典型後綴包括十二生肖後綴Dragon4444(龍)、Pig4444(豬)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(雞)、Rat4444(鼠)、Horse4444(馬)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。

經過對比分析,確認“十二主神”版本爲“十二生肖”的升級版,也就是說Globelmposter“十二主神”版本,是Globelmposter3.0的更新版本。目前該病毒變種依然無法解密,已有多家醫院的多台服務器感染病毒,業務出現癱瘓,危害巨大。

一直以来,国内一直饱受Globelmposter勒索病毒的侵害,涉及不同行业,覆盖行业有醫療、政府、能源、贸易等行业。所不同的是,此勒索家族,对国内醫療行业危害最大,Globelmposter受感染的各个行业如下,可以看到受到Globelmposter侵害的比例,醫療行业占到47.4%,接近一半:

黑客之所以倾向于醫療行业最主要的原因是,醫療卫生行业具有很大的业务紧迫性,一旦被勒索,将导致业务中断,造成的损失不可估量,这又会导致这个行业的受害者为了快速恢复业务,而选择给黑客支付赎金的方式。此外,境外黑客势力并不会顾及行业的特殊性和公益性,较之以往更加变本加厉,给醫療卫生行业带来了巨大的挑战。

比如2018年春节年后,给社会带来恶劣影响的醫療安全事件,就是Globelmposter病毒导致的。从此,黑客也开始不断向医院下手,醫療行业饱受毒害。

注:以上截圖,來自Freebuf。

尤其是,勒索病毒的傳播感染方式多種多樣,使用的技術也不斷升級,且勒索病毒主要采用RSA+AES相結合的高強度加密算法,導致加密後的文件,多數情況下無法被解密,危害巨大。

Globelmposter勒索病毒變種通過社會工程,RDP爆破,惡意程序捆綁等方式進行傳播,加密受害主機文件,釋放勒索信息進行勒索,凯发APP下载安全團隊密切關注該勒索病毒家族的發展動態,對捕獲的變種樣本進行了詳細分析。

詳細分析

此勒索病毒为了保证正常运行,先关闭了Windows defender:

接著,創建自啓動項,啓動項命名爲”WindowsUpdateCheck”:

通過執行cmd命令刪除磁盤卷影、停止數據庫服務:

遍曆卷並將其挂載:

系統保留卷被挂載:

遍曆磁盤文件,其中排除以下目錄:“.”、“..”、windows、bootmgr、pagefile.sys、boot、ids.txt、NTUSER.DAT、PerfLogs;

以及以下後綴的文件:“.dll”、“.lnk”、“.ini”、“.sys”。

對其余文件進行加密,加密後綴名比如“Ares666”:

生成勒索信息文件“HOW TO BACK YOUR FILES.txt”,文件信息如下:

加密完成後,刪除自啓動項:

執行cmd命令刪除自盤卷影、刪除遠程桌面連接信息、清除系統日志:

最後,病毒文件進行自刪除處理:

解決方案

針對已經出現勒索現象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網隔離。凯发APP下载提醒廣大用戶盡快做好病毒檢測與防禦措施,防範該病毒家族的勒索攻擊。

1、病毒檢測查殺


(1)凯发APP下载爲廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載鏈接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載鏈接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

(2)凯发APP下载EDR産品及下一代防火墙等安全産品均具备病毒检测能力,部署相关産品用户可进行病毒检测。

2、病毒防禦

(1)及時給電腦打補丁,修複漏洞。

(2)對重要的數據文件定期進行非本地備份。

(3)不要點擊來源不明的郵件附件,不從不明網站下載軟件。

(4)盡量關閉不必要的文件共享權限。

(5)更改賬戶密碼,設置強密碼,避免使用統一的密碼,因爲統一的密碼會導致一台被攻破,多台遭殃。

(6)如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用凯发APP下载防火牆,或者終端檢測響應平台(EDR)的微隔離功能對3389等端口進行封堵,防止擴散!

(7)凯发APP下载下一代防火牆、終端檢測響應平台(EDR)均有防爆破功能,防火牆開啓此功能並啓用11080051、11080027、11080016規則,EDR開啓防爆破功能可進行防禦。

(8)凯发APP下载下一代防火牆用戶,建議升級到AF805版本,並開啓SAVE安全智能檢測引擎,以達到最好的防禦效果。

(9)使用凯发APP下载安全産品,接入安全云脑,使用云查服务可以即时检测防御新威胁。


最后,建议企業对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用凯发APP下载安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

咨詢與服務

您可以通过以下方式聯系我們,获取关于

Globelmposter勒索病毒的免費咨詢及支持服務:

1)撥打電話400-630-6430轉6號線(已開通勒索軟件專線)

2)關注【凯发APP下载技術服務】微信公衆號,選擇“智能服務”菜單,進行咨詢

3)PC端訪問凯发APP下载區 bbs.sangfor.com.cn,選擇右側智能客服,進行咨詢

©2000-2019    凯发APP下载科技股份有限公司    版权所有    粵ICP備08126214號-5

粤公网安备

粵公網安備44030502002384號