1. <acronym id="f2ys6"></acronym>
        <dd id="f2ys6"></dd><ruby id="f2ys6"><menuitem id="f2ys6"></menuitem></ruby>
          <ol id="f2ys6"></ol>
          1. 返回頂部
            隱藏或顯示

            新聞動態

            News

            Globelmposter勒索病毒預警:從“十二生肖”到“十二主神”,為何國內醫療行業最受傷?

            / 2019-07-10

            近日,深信服安全團隊觀察到Globelmposter勒索病毒又出現最新變種,加密后綴有Ares666、Zeus666、Aphrodite666、Apollon666等。目前在國內醫療行業已發現有感染案例!

            病毒名稱:Globelmposter“十二主神”版本

            病毒性質:勒索病毒

            影響范圍:目前國內多家醫療機構感染

            危害等級:高危

            傳播方式:通過社會工程、RDP暴力破解入侵

            病毒描述

            這些后綴中,Ares是希臘神話里的戰神阿瑞斯,Zeus是主神宙斯,Aphrodite愛與美之女神阿佛洛狄忒,Apollon是光明、音樂、預言與醫藥之神阿波羅。以上四位均是奧林匹斯十二主神,也就是古希臘宗教中最受崇拜的十二位神。也就是目前已經出現了四個以奧林匹斯十二主神名字+666的加密后綴版本,深信服將此Globelmposter勒索病毒變種命名為Globelmposter“十二主神”版本,相信后續會不斷出現其他以希臘主神命名的新加密后綴。

            在早前,深信服已經跟蹤到了Globelmposter“十二生肖”版本,也就說Globelmposter3.0,其加密后綴以*4444為主要特征,典型后綴包括十二生肖后綴Dragon4444(龍)、Pig4444(豬)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(雞)、Rat4444(鼠)、Horse4444(馬)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。

            經過對比分析,確認“十二主神”版本為“十二生肖”的升級版,也就是說Globelmposter“十二主神”版本,是Globelmposter3.0的更新版本。目前該病毒變種依然無法解密,已有多家醫院的多臺服務器感染病毒,業務出現癱瘓,危害巨大。

            一直以來,國內一直飽受Globelmposter勒索病毒的侵害,涉及不同行業,覆蓋行業有醫療、政府、能源、貿易等行業。所不同的是,此勒索家族,對國內醫療行業危害最大,Globelmposter受感染的各個行業如下,可以看到受到Globelmposter侵害的比例,醫療行業占到47.4%,接近一半:

            黑客之所以傾向于醫療行業最主要的原因是,醫療衛生行業具有很大的業務緊迫性,一旦被勒索,將導致業務中斷,造成的損失不可估量,這又會導致這個行業的受害者為了快速恢復業務,而選擇給黑客支付贖金的方式。此外,境外黑客勢力并不會顧及行業的特殊性和公益性,較之以往更加變本加厲,給醫療衛生行業帶來了巨大的挑戰。

            比如2018年春節年后,給社會帶來惡劣影響的醫療安全事件,就是Globelmposter病毒導致的。從此,黑客也開始不斷向醫院下手,醫療行業飽受毒害。

            注:以上截圖,來自Freebuf。

            尤其是,勒索病毒的傳播感染方式多種多樣,使用的技術也不斷升級,且勒索病毒主要采用RSA+AES相結合的高強度加密算法,導致加密后的文件,多數情況下無法被解密,危害巨大。

            Globelmposter勒索病毒變種通過社會工程,RDP爆破,惡意程序捆綁等方式進行傳播,加密受害主機文件,釋放勒索信息進行勒索,深信服安全團隊密切關注該勒索病毒家族的發展動態,對捕獲的變種樣本進行了詳細分析。

            詳細分析

            此勒索病毒為了保證正常運行,先關閉了Windows defender:

            接著,創建自啟動項,啟動項命名為”WindowsUpdateCheck”:

            通過執行cmd命令刪除磁盤卷影、停止數據庫服務:

            遍歷卷并將其掛載:

            系統保留卷被掛載:

            遍歷磁盤文件,其中排除以下目錄:“.”、“..”、windows、bootmgr、pagefile.sys、boot、ids.txt、NTUSER.DAT、PerfLogs;

            以及以下后綴的文件:“.dll”、“.lnk”、“.ini”、“.sys”。

            對其余文件進行加密,加密后綴名比如“Ares666”:

            生成勒索信息文件“HOW TO BACK YOUR FILES.txt”,文件信息如下:

            加密完成后,刪除自啟動項:

            執行cmd命令刪除自盤卷影、刪除遠程桌面連接信息、清除系統日志:

            最后,病毒文件進行自刪除處理:

            解決方案

            針對已經出現勒索現象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網隔離。深信服提醒廣大用戶盡快做好病毒檢測與防御措施,防范該病毒家族的勒索攻擊。

            1、病毒檢測查殺


            (1)深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

            64位系統下載鏈接:

            http://edr.www.fp979.com/tool/SfabAntiBot_X64.7z

            32位系統下載鏈接:

            http://edr.www.fp979.com/tool/SfabAntiBot_X86.7z

            (2)深信服EDR產品及下一代防火墻等安全產品均具備病毒檢測能力,部署相關產品用戶可進行病毒檢測。

            2、病毒防御

            (1)及時給電腦打補丁,修復漏洞。

            (2)對重要的數據文件定期進行非本地備份。

            (3)不要點擊來源不明的郵件附件,不從不明網站下載軟件。

            (4)盡量關閉不必要的文件共享權限。

            (5)更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。

            (6)如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服防火墻,或者終端檢測響應平臺(EDR)的微隔離功能對3389等端口進行封堵,防止擴散!

            (7)深信服下一代防火墻、終端檢測響應平臺(EDR)均有防爆破功能,防火墻開啟此功能并啟用11080051、11080027、11080016規則,EDR開啟防爆破功能可進行防御。

            (8)深信服下一代防火墻用戶,建議升級到AF805版本,并開啟SAVE安全智能檢測引擎,以達到最好的防御效果。

            (9)使用深信服安全產品,接入安全云腦,使用云查服務可以即時檢測防御新威脅。


            最后,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服安全感知+防火墻+EDR,對內網進行感知、查殺和防護。

            咨詢與服務

            您可以通過以下方式聯系我們,獲取關于

            Globelmposter勒索病毒的免費咨詢及支持服務:

            1)撥打電話400-630-6430轉6號線(已開通勒索軟件專線)

            2)關注【深信服技術服務】微信公眾號,選擇“智能服務”菜單,進行咨詢

            3)PC端訪問深信服區 bbs.www.fp979.com,選擇右側智能客服,進行咨詢

            ©2000-2019    深信服科技股份有限公司    版權所有    粵ICP備08126214號-5

            粵公網安備

            粵公網安備44030502002384號

            亚洲真人