近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等,目前国内已有多家大型医院率先发现感染案例!- x+ D( y/ b8 r0 ]' B
9 s# D0 x8 {) x; L1 A' c6 S% h9 {5 \' t1 _
1 n4 v" q( @+ S: K7 i0 e+ r
Ares是希腊神话里的战神阿瑞斯,Zeus是主神宙斯,Aphrodite是爱与美之女神阿佛洛狄忒,Apollon是光明、音乐、预言与医药之神阿波罗,通过查阅资料意外发现,以上四位均是奥林匹斯十二主神,也就是古希腊宗教中最受崇拜的十二位神。从上图,可以看到,目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本,我们将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本,相信后续一定会不断出现以其他主神命名的新加密后缀。0 L& a0 S4 I% Q. y& c
* l* S+ C& s* v% s& n% U* q0 T" I
(注:以上截图,来自百度百科,红色圈圈的,均为已出现的相应勒索加密后缀版本。)
7 L! Z5 E( Q/ h8 R0 m2 P我们以Ares666加密勒索后缀为例,在 VirusTotal 上发现,样本上传时间点是 2019 年 7 月 7 号,而在其它威胁情报中也检索到,都集中在 2019 年 7 月初,可见这是最新升级并释放出来的版本。$ E% c0 y3 `! N9 d3 s: S% _ O
7 I! B5 C& c$ `7 T
其实,在早前,深信服已经跟踪到了 Globelmposter“十二生肖”版本,也就是Globelmposter3.0,其加密后缀以*4444为主要特征,典型后缀包括十二生肖后缀Dragon4444(龙)、Pig4444(猪)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(鸡)、Rat4444、Horse4444(马)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。
; h+ d: p# C9 {. C我们经过对比分析,确认 “十二主神”版就是“十二生肖”的升级版本,也就是说,Globelmposter“十二主神”版,是Globelmposter3.0的更新版本,目前依然无法解密,已有多家医院的多台服务中招,业务出现瘫痪,危害巨大。5 _% R, s3 M" U$ Y S
其实,国内一直饱受Globelmposter勒索病毒的侵害,涉及不同行业,覆盖行业有医疗、政府、能源、贸易等。其中,该勒索病毒对国内医疗行业危害最大。在受Globelmposter感染的各个行业中,医疗行业占到47.4%,接近一半,详情见下图:
9 E/ e& v) y! t; o( r
: @$ B! H6 r6 M2 K, Y医疗行业占比高的主要原因在于,该行业具有很大的业务紧迫性,一旦被勒索,将导致业务中断,造成的损失不可估量,受害者为了快速恢复业务,会选择给黑客支付赎金,这使得攻击者更容易达到他的目的。此外,境外黑客势力并不会管这个行业的特殊性和公益性,较之以往更加变本加厉,给医疗卫生行业带来了巨大的挑战。" w$ I2 ^3 L9 ^% Z; B
2018年春节年后,影响最恶劣的医疗安全事件,就是Globelmposter做的,从此,黑客也开始不断向医院下手,可谓毫无人性。1 _4 U1 R3 g4 A A
0 d2 A7 l2 I0 m+ |" R( 注:以上截图,来自Freebuf。)
: d4 ]) M; Z3 j9 C/ f' W虽然勒索病毒的传播感染方式多种多样,使用的技术也不断升级,但勒索病毒主要采用的加密算法依旧是RSA+AES相结合的高强度加密算法,导致加密后的文件,多数情况下是无法被解密,所以危害巨大。
/ B) q' m' l9 a+ M5 L# _Globelmposter勒索病毒变种通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索,深信服安全团队密切关注该勒索病毒家族的发展动态,对捕获的变种样本进行了详细分析。
9 e* H& c+ Y- v2 @; J5 Q, _/ k' m8 [" P" ?( }; h- [! v
一、详细分析1 l) D: B6 T7 E. S( C1 ?
6 Y1 a4 M9 h( x( `3 n2 Z. G
此勒索病毒为了保证正常运行,先关闭了 Windows defender :
/ z# o1 ]5 J/ E' ^7 L$ _+ T, K/ n$ N3 s3 ~6 g$ w) @
接着,创建自启动项,启动项命名为 ”WindowsUpdateCheck” :0 G# n6 b9 C5 Y
 " B4 z# |* r) b# I7 a, [
通过执行cmd命令删除磁盘卷影、停止数据库服务:" A* E0 o' ^& H4 P
. B- @) {+ D- h/ m
历卷并将其挂载:
4 J7 J2 |% G e! f7 S/ V) B! r8 M: }: Y+ h
系统保留卷被挂载:
" Y. `/ R' L% Y3 F5 ?& I
' n2 E2 F! z6 X# s- |遍历磁盘文件:2 G9 p" [& e5 F. F c
) Q: F9 `. I' R+ K4 w+ s
排除以下文件及目录:
; Z8 [8 h9 Q* F( B2 d
* Q6 \- S# A# Z! E$ N- T1 }0 K6 E6 F' J6 |" t$ x+ n# \: w
“ . ”、“ .. ”、 windows 、 bootmgr 、 pagefile.sys 、 boot 、 ids.txt 、 NTUSER.DAT 、 PerfLogs ;排除以下后缀名的文件:# P- }/ J7 r5 x) d$ {; t
( o( k7 V7 }7 b
7 x; ~2 p0 c" D# R$ ]* c' K
“ .dll ”、“ .lnk ”、“ .ini ”、“ .sys ”' M+ U3 B+ F# C
对其余文件进行加密,加密后缀名为 ”Ares666” :
2 e. [# A+ H/ D; ~- y3 n @- u3 V! T3 x E- u' b8 i3 a4 P
生成勒索信息文件 “ HOW TO BACK YOUR FILES.txt ”:! o2 k3 t( |% }2 K" U$ s w1 _
/ Q9 b1 I6 @) m$ z4 j# d1 z
勒索信息如下:
. Z2 H2 _: ^; O& l1 n9 T
0 X3 J! x' W# @加密完成后,删除自启动项:
9 P7 D+ {& q0 p$ V9 j7 E
& }8 K$ O" m. f) U执行cmd命令删除磁盘卷影、删除远程桌面连接信息、清除系统日志:/ e$ \( b1 F' v- A/ G" ]
1 Q1 m2 {/ m, E2 M( g
最后,病毒文件进行自删除处理:- g* ]" Z' \' G% T3 n3 K. O( m! j
% G( h( d' r) J" V" @' ?7 w
二、解决方案5 L2 u! I$ [3 \: ^9 i; q
0 j$ J% z! W* @. B; ~' t: p7 f针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
' O! t9 l- g+ w6 x; Y病毒检测查杀" L( W. s" I( H- Z+ Q$ f2 l
# q& {, M) W' n+ d! ]1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。' z0 n/ t& |; ?5 W
[color=#777575 !important]64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
0 d. B% r; G) f" v[color=#777575 !important]32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
# ^4 J8 \& ~3 l6 {- O
病毒防御
0 N* F9 h( X- L; \, U# |. K: W, y. ]4 r9 _* [
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施: \7 R; } i& G, n {4 K
[color=#777575 !important]1、及时给电脑打补丁,修复漏洞。' I" p4 C- M; Q4 x
[color=#777575 !important]2、对重要的数据文件定期进行非本地备份。
: @' q0 L/ F4 ?4 L0 T( @6 i[color=#777575 !important]3、不要点击来源不明的邮件附件,不从不明网站下载软件。5 [- \! L8 \7 i, x; a. {
[color=#777575 !important]4、尽量关闭不必要的文件共享权限。
+ C) c8 W2 y7 l X[color=#777575 !important]5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。/ O' o; G! E- f0 ?' z
[color=#777575 !important]6、如果业务上无需使用RDP的,建议关闭RDP。
2 U: m- y+ |2 k6 T- A 最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。5 f; U4 y+ o: b. S! o: _
*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM
& Y& U! Q) w0 q: K Q' L/ H
1 ~; }" ?! E. `- R7 f, b2 `
. J* E. A" {) t6 M精彩推荐' `/ ]/ V! F! Z& i/ p5 A
! d, Q5 Y3 N0 \9 |$ ]6 V X    
% k/ I: X u! w6 ]. Z; z$ b2 s2 ~8 U8 U
来源:http://mp.weixin.qq.com/s?src=11×tamp=1563112804&ver=1728&signature=yBdq8owR*vzAiu8ucT3PFs3IgIaZQApVC*q3C0wj5jdpDc5MuxuRXtgxUSq0lzeApamK82MtXg4S3CPrQchFev5IbYHh9A8-tJmoSyp9-4eotp6mi7eX8gUiIEDMxx0Y&new=1
d* m' D8 u& w+ v* Q: y N8 B免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-7-14 22:21:39
