近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等,目前国内已有多家大型医院率先发现感染案例!
! _5 a4 \% i ?. J# O8 K" \* ]" q' R) m7 {
! P/ \5 p4 h* i/ d: h
/ G% [9 c; i8 _, g/ a; C0 X# AAres是希腊神话里的战神阿瑞斯,Zeus是主神宙斯,Aphrodite是爱与美之女神阿佛洛狄忒,Apollon是光明、音乐、预言与医药之神阿波罗,通过查阅资料意外发现,以上四位均是奥林匹斯十二主神,也就是古希腊宗教中最受崇拜的十二位神。从上图,可以看到,目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本,我们将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本,相信后续一定会不断出现以其他主神命名的新加密后缀。
# K3 N; U, I. M- h- B
: A( v, t. Q+ }! w+ ?. f9 M: T" z(注:以上截图,来自百度百科,红色圈圈的,均为已出现的相应勒索加密后缀版本。)( [# U O v! q; B1 ?' G
我们以Ares666加密勒索后缀为例,在 VirusTotal 上发现,样本上传时间点是 2019 年 7 月 7 号,而在其它威胁情报中也检索到,都集中在 2019 年 7 月初,可见这是最新升级并释放出来的版本。
# A' t; i! }! o5 U% x2 D# x' W$ e9 g' f* a0 Y! E! S
其实,在早前,深信服已经跟踪到了 Globelmposter“十二生肖”版本,也就是Globelmposter3.0,其加密后缀以*4444为主要特征,典型后缀包括十二生肖后缀Dragon4444(龙)、Pig4444(猪)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(鸡)、Rat4444、Horse4444(马)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。/ g* T% O" ?& Q
我们经过对比分析,确认 “十二主神”版就是“十二生肖”的升级版本,也就是说,Globelmposter“十二主神”版,是Globelmposter3.0的更新版本,目前依然无法解密,已有多家医院的多台服务中招,业务出现瘫痪,危害巨大。
% [% R5 D+ b6 f' x其实,国内一直饱受Globelmposter勒索病毒的侵害,涉及不同行业,覆盖行业有医疗、政府、能源、贸易等。其中,该勒索病毒对国内医疗行业危害最大。在受Globelmposter感染的各个行业中,医疗行业占到47.4%,接近一半,详情见下图:* ?7 t5 e A0 }& L8 F* x+ l# ~
' k# f4 o3 ~. I# C4 }
医疗行业占比高的主要原因在于,该行业具有很大的业务紧迫性,一旦被勒索,将导致业务中断,造成的损失不可估量,受害者为了快速恢复业务,会选择给黑客支付赎金,这使得攻击者更容易达到他的目的。此外,境外黑客势力并不会管这个行业的特殊性和公益性,较之以往更加变本加厉,给医疗卫生行业带来了巨大的挑战。
2 }' v, D v# A* r: ~2018年春节年后,影响最恶劣的医疗安全事件,就是Globelmposter做的,从此,黑客也开始不断向医院下手,可谓毫无人性。" a. W+ H% n" @
* ~4 I0 T6 [; F4 \. X5 v# b
( 注:以上截图,来自Freebuf。)1 Z" R+ Y% E" b2 |& ^* K0 n% B
虽然勒索病毒的传播感染方式多种多样,使用的技术也不断升级,但勒索病毒主要采用的加密算法依旧是RSA+AES相结合的高强度加密算法,导致加密后的文件,多数情况下是无法被解密,所以危害巨大。9 \( E/ T; Y3 t0 O# E2 X1 H, N
Globelmposter勒索病毒变种通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索,深信服安全团队密切关注该勒索病毒家族的发展动态,对捕获的变种样本进行了详细分析。
3 ^# p; {: f* } K: q. x
! V# \- w) ?( N. b一、详细分析
/ t( {/ T; A/ w1 C8 ~
( V# p% V. x% X此勒索病毒为了保证正常运行,先关闭了 Windows defender :
$ l9 F* a, t+ W. D9 t4 H$ v |( H# j& j- K
接着,创建自启动项,启动项命名为 ”WindowsUpdateCheck” :
3 A k1 @9 Z- P
1 I$ U9 A' K8 i/ Z通过执行cmd命令删除磁盘卷影、停止数据库服务:( |6 q* P) Y! c& X
5 U9 n) j1 f5 A历卷并将其挂载:
0 u" e1 C9 |7 m8 {
! I% e. J, X `* l; ~系统保留卷被挂载:0 q! }, C" D6 E% H3 Q- O
0 {; a4 e, _- r3 |8 w2 K! `
遍历磁盘文件:' a5 J$ G4 v& w7 {" N L; h
2 q6 [) m$ r4 }( c; z
排除以下文件及目录:# n s4 H) n. l* m! H: ~6 f
2 |% }' }& _& R8 _/ y4 P
- 2 M0 g$ u5 S6 V+ J7 p
“ . ”、“ .. ”、 windows 、 bootmgr 、 pagefile.sys 、 boot 、 ids.txt 、 NTUSER.DAT 、 PerfLogs ;排除以下后缀名的文件:
9 r. n: Y3 r( A) D! s0 l! X8 o. k: G9 t( U" g9 M. t4 r
- 9 p5 i7 q" r* _! A7 a, z- a
“ .dll ”、“ .lnk ”、“ .ini ”、“ .sys ”6 Z( g3 E/ m( M' [6 W; X9 ^3 C: b
对其余文件进行加密,加密后缀名为 ”Ares666” :) L2 {6 y5 ]/ U8 v9 D+ y! V
% r" A' j* p! [) N( p! E生成勒索信息文件 “ HOW TO BACK YOUR FILES.txt ”:
8 i: i8 h/ C2 x, U% D
" ^/ \% s6 v1 O勒索信息如下:& C8 u. S g9 N3 }
9 r4 e# _( i9 }% |
加密完成后,删除自启动项:: b' c* ]1 z% O8 d" B, M- m
$ {+ a0 g+ ]& M执行cmd命令删除磁盘卷影、删除远程桌面连接信息、清除系统日志:7 x7 _+ a: J) e( x- c. M$ u3 l* d
$ N5 @' q' A* e
最后,病毒文件进行自删除处理:
B, m) U3 ]8 v7 f" A5 F& b" |1 t
二、解决方案4 B/ L7 |/ ^* K7 x7 j
$ f% ]4 h, \- X: Q# G6 l
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
9 P8 \! J' ]7 A8 ^病毒检测查杀' e2 {* d/ b. w \& s; l: F' d U& u" o
4 p2 i9 b5 [- c3 g0 L* g
1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。7 T9 o. X+ J4 { K0 X3 Q! K4 h2 ?
[color=#777575 !important]64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
9 Z4 ]. e0 d. [+ U8 o7 J[color=#777575 !important]32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
" u R# F4 Q1 N4 m8 }0 X* M
病毒防御* L; l9 V9 S; ?7 \& S4 k# H
0 N2 E0 O0 D2 I/ a
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
0 V+ c' C+ y6 D4 g[color=#777575 !important]1、及时给电脑打补丁,修复漏洞。
* Z3 b7 L* N, m& v- x& j' p/ _7 |[color=#777575 !important]2、对重要的数据文件定期进行非本地备份。+ p0 T3 W+ S0 V" q; B
[color=#777575 !important]3、不要点击来源不明的邮件附件,不从不明网站下载软件。% [0 V7 i$ F8 H5 |* M6 B
[color=#777575 !important]4、尽量关闭不必要的文件共享权限。
0 _: T) N7 p- h6 B% G9 t' [! J[color=#777575 !important]5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
2 S% c- h$ n7 O) W6 n, E[color=#777575 !important]6、如果业务上无需使用RDP的,建议关闭RDP。$ N7 Z4 @' H8 Y9 V! Q6 o, H
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。/ s9 U( i6 i; X b- l4 K2 Y; m% p
*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM
7 q" p& Z$ @" }$ ?1 l# Y! j* K5 X# E$ T4 f# o: f
 1 x1 x0 u! [1 ?
精彩推荐2 I l) D2 T* n& i( W( `$ ^# J
 ) e' l; O; `' Q% r6 z
    
' i: u y3 `+ A: j9 `$ g5 e4 G$ i5 p- K0 Z5 w5 x9 g" e( z
来源:http://mp.weixin.qq.com/s?src=11×tamp=1563112804&ver=1728&signature=yBdq8owR*vzAiu8ucT3PFs3IgIaZQApVC*q3C0wj5jdpDc5MuxuRXtgxUSq0lzeApamK82MtXg4S3CPrQchFev5IbYHh9A8-tJmoSyp9-4eotp6mi7eX8gUiIEDMxx0Y&new=1
* x o8 v4 i8 l7 P2 |( B w- c免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-7-14 22:21:39
