京东6.18大促主会场领京享红包更优惠

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 7440|回复: 0

勒索病毒最新预警:从“十二生肖”到“十二主神”

[复制链接]

9

主题

0

回帖

10

积分

新手上路

积分
10
发表于 2019-7-14 22:21:39 | 显示全部楼层 |阅读模式 来自 中国
近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等,目前国内已有多家大型医院率先发现感染案例!
, H7 L5 F8 E: V5 N5 V; n) o& ~( ^* q

, H7 w1 N" r2 G7 D/ s
7 V; s: k3 n) Y2 j7 P
( o' t3 f+ Z# ^8 e$ E  [/ L
Ares是希腊神话里的战神阿瑞斯,Zeus是主神宙斯,Aphrodite是爱与美之女神阿佛洛狄忒,Apollon是光明、音乐、预言与医药之神阿波罗,通过查阅资料意外发现,以上四位均是奥林匹斯十二主神,也就是古希腊宗教中最受崇拜的十二位神。从上图,可以看到,目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本,我们将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本,相信后续一定会不断出现以其他主神命名的新加密后缀。4 O2 k1 B4 m( A& _
# G4 A* Z: J% Z; C$ M8 z
(注:以上截图,来自百度百科,红色圈圈的,均为已出现的相应勒索加密后缀版本。)
( ]% B+ p  z" b- a+ `我们以Ares666加密勒索后缀为例,在 VirusTotal 上发现,样本上传时间点是 2019 年 7 月 7 号,而在其它威胁情报中也检索到,都集中在 2019 年 7 月初,可见这是最新升级并释放出来的版本。
* ^& x: s& J; A$ O2 n8 p
* s, d1 ~2 Q9 ~8 w) i
其实,在早前,深信服已经跟踪到了 Globelmposter“十二生肖”版本,也就是Globelmposter3.0,其加密后缀以*4444为主要特征,典型后缀包括十二生肖后缀Dragon4444(龙)、Pig4444(猪)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(鸡)、Rat4444、Horse4444(马)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。# D$ u; G- Z) @
我们经过对比分析,确认 “十二主神”版就是“十二生肖”的升级版本,也就是说,Globelmposter“十二主神”版,是Globelmposter3.0的更新版本,目前依然无法解密,已有多家医院的多台服务中招,业务出现瘫痪,危害巨大。. h! m$ s# e& {5 s6 r5 q0 h8 S
其实,国内一直饱受Globelmposter勒索病毒的侵害,涉及不同行业,覆盖行业有医疗、政府、能源、贸易等。其中,该勒索病毒对国内医疗行业危害最大。在受Globelmposter感染的各个行业中,医疗行业占到47.4%,接近一半,详情见下图:+ m( U% Y- G, p
6 ^7 N' y  ^: g- }2 f; R2 V# s+ t5 N' x
医疗行业占比高的主要原因在于,该行业具有很大的业务紧迫性,一旦被勒索,将导致业务中断,造成的损失不可估量,受害者为了快速恢复业务,会选择给黑客支付赎金,这使得攻击者更容易达到他的目的。此外,境外黑客势力并不会管这个行业的特殊性和公益性,较之以往更加变本加厉,给医疗卫生行业带来了巨大的挑战。  y- q: {4 j# ^) y
2018年春节年后,影响最恶劣的医疗安全事件,就是Globelmposter做的,从此,黑客也开始不断向医院下手,可谓毫无人性。
4 U$ y' n$ c- Q. O- ~( i
- Z* @! t# U7 ]; [1 _: h
( 注:以上截图,来自Freebuf。)5 m% N0 W9 c7 C3 a& T! i1 ]
虽然勒索病毒的传播感染方式多种多样,使用的技术也不断升级,但勒索病毒主要采用的加密算法依旧是RSA+AES相结合的高强度加密算法,导致加密后的文件,多数情况下是无法被解密,所以危害巨大。3 c/ I# e9 n% {2 n$ r" G. w5 x1 S, O5 c
Globelmposter勒索病毒变种通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索,深信服安全团队密切关注该勒索病毒家族的发展动态,对捕获的变种样本进行了详细分析。3 U- ]9 h) H5 h4 m7 V! q' w

- L2 Q1 A) u0 n( T  i一、详细分析
3 E# [. B) o+ n: K  e9 l
8 }0 K+ ]9 j" {& y此勒索病毒为了保证正常运行,先关闭了 Windows defender :9 E! I0 u8 ~- e
' _. I/ _1 X  V& B8 @
接着,创建自启动项,启动项命名为 ”WindowsUpdateCheck” :# w2 c" K1 `2 `8 Y) H# ~; L

; m" ]* V4 f4 m6 T通过执行cmd命令删除磁盘卷影、停止数据库服务:; Z  X" h3 n8 N0 C

) k: ~) s6 u8 X历卷并将其挂载:
+ L, v  Q* [  _. }
# `* |3 b* h- g( W' a9 N( B) D
系统保留卷被挂载:
2 |" u# ^+ ~) t, P2 T
" B8 i( [; P3 d, b
遍历磁盘文件:
- I" H. K, c/ N. ^7 G% C

/ p* @1 {3 k# l$ t+ o. N排除以下文件及目录:9 f9 Q/ _+ {  t/ @. M3 R
    - M6 v) w0 v: z( f' ^
  • 3 |' c9 [9 l+ a* N4 d
“ . ”、“ .. ”、 windows 、 bootmgr 、 pagefile.sys 、 boot 、 ids.txt 、 NTUSER.DAT 、 PerfLogs ;排除以下后缀名的文件:7 f( H+ E2 `+ o$ \5 ?6 z

    5 q' a  `3 D( t" K

  • 0 K7 R6 K. f' Z6 R0 g9 c
“ .dll ”、“ .lnk ”、“ .ini ”、“ .sys ”

2 v8 D3 @- n" ]+ _" H. o1 X对其余文件进行加密,加密后缀名为 ”Ares666” :
1 j" u( A( M  [9 ^- S" N

0 R2 S0 Z1 T$ L. E# Q; U生成勒索信息文件 “ HOW TO BACK YOUR FILES.txt ”:
; M% V: V! M4 y- O( t1 ^/ P
: G7 P" p" X0 k& e
勒索信息如下:
& m8 N- E2 h  G$ f- a9 {! Y
( L; {9 i5 U% s  Y5 N/ j- V  l3 Y
加密完成后,删除自启动项:1 F8 H* x/ k: D* R

1 K. Q  R' @& u执行cmd命令删除磁盘卷影、删除远程桌面连接信息、清除系统日志:
: |& M  P' y1 }( Z- x. p

/ x3 ]! W5 S5 S最后,病毒文件进行自删除处理:
" i& q% {( R2 f1 i7 ^

0 L- z* C1 F1 g& F二、解决方案
+ O" a) [; H) J4 Q6 y8 a$ E0 V9 ^- `& X: E* h
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
, s+ S. @0 n; G1 ^/ ^病毒检测查杀8 M. c! w7 O, u$ H

  w4 q* K2 A9 q; L- q0 c# p1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。3 T9 x" X1 d7 y/ k3 b, Q$ s% o
[color=#777575 !important]64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
1 {- n5 y! M5 M% l  D5 V2 {% A
[color=#777575 !important]32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
- R" L) X. S% F
病毒防御
/ E( X* q5 k5 J. s# }) w# R
# H# w+ ]4 z0 {深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:# i5 S7 f" |- e" _( J
[color=#777575 !important]1、及时给电脑打补丁,修复漏洞。- x( ]. _2 c  N* |4 k( `
[color=#777575 !important]2、对重要的数据文件定期进行非本地备份。
7 M6 X. d& A  A1 c) n& E5 p9 E6 B[color=#777575 !important]3、不要点击来源不明的邮件附件,不从不明网站下载软件。( h; T- ^) X* g! _
[color=#777575 !important]4、尽量关闭不必要的文件共享权限。
/ I$ g9 v, L7 S8 p' L[color=#777575 !important]5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。0 y0 I4 F& B9 J" H9 |- F
[color=#777575 !important]6、如果业务上无需使用RDP的,建议关闭RDP。
: ~; m; A  s3 F4 Z3 L
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。$ l- W! N% u4 m+ d  G& p: _
*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM4 X' k& [9 I9 X, e+ T
, s( `- A0 \' m5 V% u: O% B7 Q7 q! x& U0 o
! {7 }8 K: u' {- n) d5 c
精彩推荐
* d  z6 k, h  h9 k! Z. k# v) E
9 t) `: {  C4 A9 e$ Z* u$ O! E) r% W
$ m0 V7 K! U' ]( M6 R3 W+ ]
来源:http://mp.weixin.qq.com/s?src=11&timestamp=1563112804&ver=1728&signature=yBdq8owR*vzAiu8ucT3PFs3IgIaZQApVC*q3C0wj5jdpDc5MuxuRXtgxUSq0lzeApamK82MtXg4S3CPrQchFev5IbYHh9A8-tJmoSyp9-4eotp6mi7eX8gUiIEDMxx0Y&new=1+ I; D1 Q6 y! A* K+ U- F
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

帖子地址: 

梦想之都-俊月星空 优酷自频道欢迎您 http://i.youku.com/zhaojun917
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|梦想之都-俊月星空 ( 粤ICP备18056059号 )|网站地图

GMT+8, 2026-7-17 11:50 , Processed in 0.062483 second(s), 26 queries .

Powered by Mxzdjyxk! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表