近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等,目前国内已有多家大型医院率先发现感染案例!
5 z( E; U, @1 B5 a4 N; H L4 O3 ?& Z( q% c7 K
/ C% j5 l Q7 V* j$ K- X
+ X7 p1 G$ l, G/ | oAres是希腊神话里的战神阿瑞斯,Zeus是主神宙斯,Aphrodite是爱与美之女神阿佛洛狄忒,Apollon是光明、音乐、预言与医药之神阿波罗,通过查阅资料意外发现,以上四位均是奥林匹斯十二主神,也就是古希腊宗教中最受崇拜的十二位神。从上图,可以看到,目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本,我们将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本,相信后续一定会不断出现以其他主神命名的新加密后缀。0 g N+ ]3 I: R" s; g( w9 A
0 K" V' Y/ L8 _9 u6 d- v: b(注:以上截图,来自百度百科,红色圈圈的,均为已出现的相应勒索加密后缀版本。)
( M+ k4 x; ~& U# S6 _# Y我们以Ares666加密勒索后缀为例,在 VirusTotal 上发现,样本上传时间点是 2019 年 7 月 7 号,而在其它威胁情报中也检索到,都集中在 2019 年 7 月初,可见这是最新升级并释放出来的版本。/ _$ R+ i) t7 N
8 C4 N3 @: B0 h! G其实,在早前,深信服已经跟踪到了 Globelmposter“十二生肖”版本,也就是Globelmposter3.0,其加密后缀以*4444为主要特征,典型后缀包括十二生肖后缀Dragon4444(龙)、Pig4444(猪)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(鸡)、Rat4444、Horse4444(马)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。0 J/ Q7 ^0 S, x5 `9 u H7 v
我们经过对比分析,确认 “十二主神”版就是“十二生肖”的升级版本,也就是说,Globelmposter“十二主神”版,是Globelmposter3.0的更新版本,目前依然无法解密,已有多家医院的多台服务中招,业务出现瘫痪,危害巨大。! x& o: m: ]( p) q! l
其实,国内一直饱受Globelmposter勒索病毒的侵害,涉及不同行业,覆盖行业有医疗、政府、能源、贸易等。其中,该勒索病毒对国内医疗行业危害最大。在受Globelmposter感染的各个行业中,医疗行业占到47.4%,接近一半,详情见下图:4 Z$ u- C2 H3 }0 Z' v( d
0 F6 A# }3 ^5 s _: [" n7 P医疗行业占比高的主要原因在于,该行业具有很大的业务紧迫性,一旦被勒索,将导致业务中断,造成的损失不可估量,受害者为了快速恢复业务,会选择给黑客支付赎金,这使得攻击者更容易达到他的目的。此外,境外黑客势力并不会管这个行业的特殊性和公益性,较之以往更加变本加厉,给医疗卫生行业带来了巨大的挑战。, A4 x1 B3 d6 B& L P3 e/ ?. S
2018年春节年后,影响最恶劣的医疗安全事件,就是Globelmposter做的,从此,黑客也开始不断向医院下手,可谓毫无人性。
& |7 n% P4 y# ~8 }( ~5 L x: ]+ c+ A! [8 A; ?
( 注:以上截图,来自Freebuf。)
/ L& t5 H! _: q9 d$ d+ W) {虽然勒索病毒的传播感染方式多种多样,使用的技术也不断升级,但勒索病毒主要采用的加密算法依旧是RSA+AES相结合的高强度加密算法,导致加密后的文件,多数情况下是无法被解密,所以危害巨大。
! p" i9 k! ?; m a7 z3 dGlobelmposter勒索病毒变种通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索,深信服安全团队密切关注该勒索病毒家族的发展动态,对捕获的变种样本进行了详细分析。 @ K% b! }8 F) a
2 Q$ C: q$ F! z3 j4 p
一、详细分析
% y3 \& h0 c K1 Q4 m/ p1 {! C% w' y6 L1 E% ~8 o7 `
此勒索病毒为了保证正常运行,先关闭了 Windows defender :* l! P* n. x7 E1 `5 X% K% ] \
4 z/ G; K' O a* w" x
接着,创建自启动项,启动项命名为 ”WindowsUpdateCheck” :1 v" M6 b) ~$ u& b: U; n* Y
* P; a1 K4 O3 f. A5 L通过执行cmd命令删除磁盘卷影、停止数据库服务:
) f% v7 ~6 l% R6 j' Y) h& L& _: j! L
历卷并将其挂载:
; A( }/ A1 ?7 O# J, Y7 G) ^' t/ M( M( W' R( H
系统保留卷被挂载:% j* m& D2 P0 k3 ]7 \
$ W$ }1 h: U4 b0 I
遍历磁盘文件:7 k! s! ^( r' v* X" _$ b# C
, A9 |$ v9 [: u3 t# T h, r
排除以下文件及目录:! V4 Q# D' o; ^
# ^1 G$ `9 m& I9 Z3 \( M# X
- 9 v V8 k* L) g# f4 q6 o' ^
“ . ”、“ .. ”、 windows 、 bootmgr 、 pagefile.sys 、 boot 、 ids.txt 、 NTUSER.DAT 、 PerfLogs ;排除以下后缀名的文件:$ ?0 `4 x- w: b, k8 ]
- ` `9 O0 ^$ G+ q% f
$ }$ T- F8 N- G1 ] “ .dll ”、“ .lnk ”、“ .ini ”、“ .sys ”
/ d. e j, h; Z对其余文件进行加密,加密后缀名为 ”Ares666” :
7 c( n4 w' H% J, f+ F) n8 \, D+ U1 k6 |- c" F2 j1 J( n
生成勒索信息文件 “ HOW TO BACK YOUR FILES.txt ”:! w. I$ ~4 g9 |, N& U/ x7 z
/ C8 ~$ a. ?5 M `. `6 m勒索信息如下:% G% g0 d' r" X0 N! z
2 ?3 a! z% t$ l/ A: i% R
加密完成后,删除自启动项:" J2 z4 P/ v. g$ ~
$ d. T- v' ^- T8 q, [; p A执行cmd命令删除磁盘卷影、删除远程桌面连接信息、清除系统日志:
. \. a/ e8 F, e
% S5 t2 }4 z+ ~5 z最后,病毒文件进行自删除处理:: K* f W4 r& c3 G A
! n a/ e5 g. j
二、解决方案
* g$ r6 Q z7 W; h9 G. A
# V6 X0 K' C2 C, G' i针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。9 v7 s4 X% D* l5 x6 F3 N
病毒检测查杀
( q( C- Z8 |' G, j* l
" T0 g2 A Z8 n) Y+ P, N& U1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
* E' F% Y$ D* v1 V' {5 I, F# W' L% Y; [[color=#777575 !important]64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z ' A. v: l% H6 U; x! d* T
[color=#777575 !important]32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z ; X$ Z6 q8 w- ^( h k. Z
病毒防御; e/ t0 e3 k# u; g0 u' z" |% j ?
2 l; S4 V4 `+ d' T- x深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:3 l% d h( j* v; w
[color=#777575 !important]1、及时给电脑打补丁,修复漏洞。, Q3 G) t% E% B O' {7 m" a( S. O
[color=#777575 !important]2、对重要的数据文件定期进行非本地备份。8 Q0 Q; U7 D- c- _% f1 V
[color=#777575 !important]3、不要点击来源不明的邮件附件,不从不明网站下载软件。( i+ j9 C9 {' [
[color=#777575 !important]4、尽量关闭不必要的文件共享权限。/ x+ V# Y$ g0 M9 Q
[color=#777575 !important]5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
9 U) K; \5 l3 x7 Z5 m- S* W/ q[color=#777575 !important]6、如果业务上无需使用RDP的,建议关闭RDP。
; T+ k' m8 Z# ?9 L/ ^+ G 最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。) X* B$ @5 B! ]8 a# e0 ^, S3 d
*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM
, k6 P: U, o& _0 v
6 u# h: `$ x1 ^9 q ! x' J1 G' L5 r" J# a
精彩推荐
& n& l* [# L3 l5 [
+ W+ [# K1 { x# @    
2 h7 e$ l+ }; k& D* R4 I9 P+ W h" f9 F. D( v
来源:http://mp.weixin.qq.com/s?src=11×tamp=1563112804&ver=1728&signature=yBdq8owR*vzAiu8ucT3PFs3IgIaZQApVC*q3C0wj5jdpDc5MuxuRXtgxUSq0lzeApamK82MtXg4S3CPrQchFev5IbYHh9A8-tJmoSyp9-4eotp6mi7eX8gUiIEDMxx0Y&new=1
$ A( e b) ^2 F4 N免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-7-14 22:21:39
