<optgroup id="rwngj"></optgroup>
    1. 返回頂部
      隱藏或顯示

      新聞動態

      News

      Globelmposter勒索病毒預警:從“十二生肖”到“十二主神”,為何國內醫療行業最受傷?

      / 2019-07-10

      近日,深信服安全團隊觀察到Globelmposter勒索病毒又出現最新變種,加密后綴有Ares666、Zeus666、Aphrodite666、Apollon666等。目前在國內醫療行業已發現有感染案例!

      病毒名稱:Globelmposter“十二主神”版本

      病毒性質:勒索病毒

      影響范圍:目前國內多家醫療機構感染

      危害等級:高危

      傳播方式:通過社會工程、RDP暴力破解入侵

      病毒描述

      這些后綴中,Ares是希臘神話里的戰神阿瑞斯,Zeus是主神宙斯,Aphrodite愛與美之女神阿佛洛狄忒,Apollon是光明、音樂、預言與醫藥之神阿波羅。以上四位均是奧林匹斯十二主神,也就是古希臘宗教中最受崇拜的十二位神。也就是目前已經出現了四個以奧林匹斯十二主神名字+666的加密后綴版本,深信服將此Globelmposter勒索病毒變種命名為Globelmposter“十二主神”版本,相信后續會不斷出現其他以希臘主神命名的新加密后綴。

      在早前,深信服已經跟蹤到了Globelmposter“十二生肖”版本,也就說Globelmposter3.0,其加密后綴以*4444為主要特征,典型后綴包括十二生肖后綴Dragon4444(龍)、Pig4444(豬)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(雞)、Rat4444(鼠)、Horse4444(馬)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。

      經過對比分析,確認“十二主神”版本為“十二生肖”的升級版,也就是說Globelmposter“十二主神”版本,是Globelmposter3.0的更新版本。目前該病毒變種依然無法解密,已有多家醫院的多臺服務器感染病毒,業務出現癱瘓,危害巨大。

      一直以來,國內一直飽受Globelmposter勒索病毒的侵害,涉及不同行業,覆蓋行業有醫療、政府、能源、貿易等行業。所不同的是,此勒索家族,對國內醫療行業危害最大,Globelmposter受感染的各個行業如下,可以看到受到Globelmposter侵害的比例,醫療行業占到47.4%,接近一半:

      黑客之所以傾向于醫療行業最主要的原因是,醫療衛生行業具有很大的業務緊迫性,一旦被勒索,將導致業務中斷,造成的損失不可估量,這又會導致這個行業的受害者為了快速恢復業務,而選擇給黑客支付贖金的方式。此外,境外黑客勢力并不會顧及行業的特殊性和公益性,較之以往更加變本加厲,給醫療衛生行業帶來了巨大的挑戰。

      比如2018年春節年后,給社會帶來惡劣影響的醫療安全事件,就是Globelmposter病毒導致的。從此,黑客也開始不斷向醫院下手,醫療行業飽受毒害。

      注:以上截圖,來自Freebuf。

      尤其是,勒索病毒的傳播感染方式多種多樣,使用的技術也不斷升級,且勒索病毒主要采用RSA+AES相結合的高強度加密算法,導致加密后的文件,多數情況下無法被解密,危害巨大。

      Globelmposter勒索病毒變種通過社會工程,RDP爆破,惡意程序捆綁等方式進行傳播,加密受害主機文件,釋放勒索信息進行勒索,深信服安全團隊密切關注該勒索病毒家族的發展動態,對捕獲的變種樣本進行了詳細分析。

      詳細分析

      此勒索病毒為了保證正常運行,先關閉了Windows defender:

      接著,創建自啟動項,啟動項命名為”WindowsUpdateCheck”:

      通過執行cmd命令刪除磁盤卷影、停止數據庫服務:

      遍歷卷并將其掛載:

      系統保留卷被掛載:

      遍歷磁盤文件,其中排除以下目錄:“.”、“..”、windows、bootmgr、pagefile.sys、boot、ids.txt、NTUSER.DAT、PerfLogs;

      以及以下后綴的文件:“.dll”、“.lnk”、“.ini”、“.sys”。

      對其余文件進行加密,加密后綴名比如“Ares666”:

      生成勒索信息文件“HOW TO BACK YOUR FILES.txt”,文件信息如下:

      加密完成后,刪除自啟動項:

      執行cmd命令刪除自盤卷影、刪除遠程桌面連接信息、清除系統日志:

      最后,病毒文件進行自刪除處理:

      解決方案

      針對已經出現勒索現象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網隔離。深信服提醒廣大用戶盡快做好病毒檢測與防御措施,防范該病毒家族的勒索攻擊。

      1、病毒檢測查殺


      (1)深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

      64位系統下載鏈接:

      http://edr.www.d6562.com/tool/SfabAntiBot_X64.7z

      32位系統下載鏈接:

      http://edr.www.d6562.com/tool/SfabAntiBot_X86.7z

      (2)深信服EDR產品及下一代防火墻等安全產品均具備病毒檢測能力,部署相關產品用戶可進行病毒檢測。

      2、病毒防御

      (1)及時給電腦打補丁,修復漏洞。

      (2)對重要的數據文件定期進行非本地備份。

      (3)不要點擊來源不明的郵件附件,不從不明網站下載軟件。

      (4)盡量關閉不必要的文件共享權限。

      (5)更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。

      (6)如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服防火墻,或者終端檢測響應平臺(EDR)的微隔離功能對3389等端口進行封堵,防止擴散!

      (7)深信服下一代防火墻、終端檢測響應平臺(EDR)均有防爆破功能,防火墻開啟此功能并啟用11080051、11080027、11080016規則,EDR開啟防爆破功能可進行防御。

      (8)深信服下一代防火墻用戶,建議升級到AF805版本,并開啟SAVE安全智能檢測引擎,以達到最好的防御效果。

      (9)使用深信服安全產品,接入安全云腦,使用云查服務可以即時檢測防御新威脅。


      最后,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服安全感知+防火墻+EDR,對內網進行感知、查殺和防護。

      咨詢與服務

      您可以通過以下方式聯系我們,獲取關于

      Globelmposter勒索病毒的免費咨詢及支持服務:

      1)撥打電話400-630-6430轉6號線(已開通勒索軟件專線)

      2)關注【深信服技術服務】微信公眾號,選擇“智能服務”菜單,進行咨詢

      3)PC端訪問深信服區 bbs.www.d6562.com,選擇右側智能客服,進行咨詢

      ©2000-2019    深信服科技股份有限公司    版權所有    粵ICP備08126214號-5

      粵公網安備

      粵公網安備44030502002384號

      92看看电影网免费伦理电影大全