近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等,目前国内已有多家大型医院率先发现感染案例!
- t G. L0 |- i5 M9 C0 Y/ ]. t- |- |8 D- y
7 A- H, M7 Y. n9 V* o, Z- l2 y$ e
$ f# z8 r( A3 \+ U' c" y& GAres是希腊神话里的战神阿瑞斯,Zeus是主神宙斯,Aphrodite是爱与美之女神阿佛洛狄忒,Apollon是光明、音乐、预言与医药之神阿波罗,通过查阅资料意外发现,以上四位均是奥林匹斯十二主神,也就是古希腊宗教中最受崇拜的十二位神。从上图,可以看到,目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本,我们将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本,相信后续一定会不断出现以其他主神命名的新加密后缀。' J0 k6 Z; S$ W3 t% h8 }$ W k
0 A- `' ^$ I i(注:以上截图,来自百度百科,红色圈圈的,均为已出现的相应勒索加密后缀版本。): e' {9 @8 q. G/ Z! W
我们以Ares666加密勒索后缀为例,在 VirusTotal 上发现,样本上传时间点是 2019 年 7 月 7 号,而在其它威胁情报中也检索到,都集中在 2019 年 7 月初,可见这是最新升级并释放出来的版本。% T- g8 j' }' l# N1 `- S
; s( ?% Y( G; l, i8 D其实,在早前,深信服已经跟踪到了 Globelmposter“十二生肖”版本,也就是Globelmposter3.0,其加密后缀以*4444为主要特征,典型后缀包括十二生肖后缀Dragon4444(龙)、Pig4444(猪)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(鸡)、Rat4444、Horse4444(马)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。
8 \: U+ G; F* E( V1 E我们经过对比分析,确认 “十二主神”版就是“十二生肖”的升级版本,也就是说,Globelmposter“十二主神”版,是Globelmposter3.0的更新版本,目前依然无法解密,已有多家医院的多台服务中招,业务出现瘫痪,危害巨大。* g3 s |8 H o$ b9 a: j% ]8 s
其实,国内一直饱受Globelmposter勒索病毒的侵害,涉及不同行业,覆盖行业有医疗、政府、能源、贸易等。其中,该勒索病毒对国内医疗行业危害最大。在受Globelmposter感染的各个行业中,医疗行业占到47.4%,接近一半,详情见下图:
1 a9 }& ]% \ Q& h% @# y S( X& d9 \) g7 d O
医疗行业占比高的主要原因在于,该行业具有很大的业务紧迫性,一旦被勒索,将导致业务中断,造成的损失不可估量,受害者为了快速恢复业务,会选择给黑客支付赎金,这使得攻击者更容易达到他的目的。此外,境外黑客势力并不会管这个行业的特殊性和公益性,较之以往更加变本加厉,给医疗卫生行业带来了巨大的挑战。) {8 T% s; z2 ~% ~. U
2018年春节年后,影响最恶劣的医疗安全事件,就是Globelmposter做的,从此,黑客也开始不断向医院下手,可谓毫无人性。8 x2 E2 k' w) Z8 e+ X* z4 O. K- O
9 Y6 ]7 d- k% n+ i* ^8 v1 F7 p( 注:以上截图,来自Freebuf。)
z0 j C3 Q& z" m虽然勒索病毒的传播感染方式多种多样,使用的技术也不断升级,但勒索病毒主要采用的加密算法依旧是RSA+AES相结合的高强度加密算法,导致加密后的文件,多数情况下是无法被解密,所以危害巨大。
2 g4 ?. l( q* r- W+ M9 } tGlobelmposter勒索病毒变种通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索,深信服安全团队密切关注该勒索病毒家族的发展动态,对捕获的变种样本进行了详细分析。
6 q5 K; ]+ a& Q! [0 j) G2 F1 D |( A8 H6 e- @, z: f
一、详细分析' x0 x/ N* ]* K- p3 q7 [& `% w
9 l! W2 t2 w& F$ M: v1 X: V此勒索病毒为了保证正常运行,先关闭了 Windows defender :* b% f6 t% G6 f4 v6 X) N+ n" G
% I6 P& t4 `' @2 D6 D5 i接着,创建自启动项,启动项命名为 ”WindowsUpdateCheck” :
0 @" m9 v! ~( S# M# t \+ T( ]& |3 D
4 ~1 V- l8 a( X通过执行cmd命令删除磁盘卷影、停止数据库服务:8 h) v/ ^1 }' i$ Z
3 P5 L) u) n/ y$ r4 O8 d历卷并将其挂载:% N3 g$ m3 w5 X# W
$ g9 T, r! }8 o' [4 m, B6 I6 z
系统保留卷被挂载:. o# J5 N; X# X. U5 P
8 B& P1 U; T4 {9 W0 M' X遍历磁盘文件:+ Y6 g& N0 y# o& p( u/ W5 I' U: E
: n& l2 E2 f0 B; i! A! T排除以下文件及目录:0 ?( Q: L% b; d# `
3 C: z3 q, l, k, W9 a- |+ l
. O8 L/ G8 W0 ^0 J3 y9 V “ . ”、“ .. ”、 windows 、 bootmgr 、 pagefile.sys 、 boot 、 ids.txt 、 NTUSER.DAT 、 PerfLogs ;排除以下后缀名的文件:+ }5 e/ L) z7 q
# J* q1 H; m8 i1 T
& w7 W0 i% Z) M$ m! c' J- H5 q" v “ .dll ”、“ .lnk ”、“ .ini ”、“ .sys ”
" x6 Q0 ?- H- f: p对其余文件进行加密,加密后缀名为 ”Ares666” :0 T, {2 l: @* p* I- p) |4 B2 f
1 R; c" E, x0 {7 j
生成勒索信息文件 “ HOW TO BACK YOUR FILES.txt ”:
5 R! H; i. ^! {- O. p8 ]; o a+ V+ ^1 h% X' y
勒索信息如下:
8 j: | V9 T5 w% _, n: X: O$ h- T6 e( T
加密完成后,删除自启动项:
5 t; K* F a4 G
0 U- b# C2 e+ T执行cmd命令删除磁盘卷影、删除远程桌面连接信息、清除系统日志:, c. ?* d" U2 N& y# g2 h1 \; O/ P
% z3 l9 U# O: \3 N$ R1 c: k最后,病毒文件进行自删除处理:
' V% M# d% f) y( u+ d
* Q! {/ z( i- H( O" U$ y二、解决方案
" U" o! W( m7 e [: w- [- \7 q7 L# }) U v( }+ J0 @+ h
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。: h5 M. g- R! K- V) R
病毒检测查杀" x6 p" _6 S+ K4 O9 u- b8 ^
$ `2 Q i9 B1 E1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
; Z3 ?, g6 ~% i5 W# Q& X[color=#777575 !important]64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
: h& n' `7 z- G[color=#777575 !important]32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z 2 e7 m# \2 U# v: l. M8 C
病毒防御2 G1 C$ B& i! K7 ?
: |4 d& Q/ B. s1 s+ q深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:1 i, T, o# e u, t% T' p
[color=#777575 !important]1、及时给电脑打补丁,修复漏洞。0 L, H) r# h- F1 L+ x) o7 [: k. a
[color=#777575 !important]2、对重要的数据文件定期进行非本地备份。% d4 t$ K4 C x- v4 i" U. t4 P. ~# d
[color=#777575 !important]3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4 Y0 _. h2 ]( \[color=#777575 !important]4、尽量关闭不必要的文件共享权限。8 _: u5 y8 _8 {5 F
[color=#777575 !important]5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。6 x+ R4 l; Y/ U! [) e9 W# k, K
[color=#777575 !important]6、如果业务上无需使用RDP的,建议关闭RDP。+ x) Y' d" P4 B& C/ T" s0 E& z
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。7 [ V; G6 I) S+ r; Q S8 b" ^$ @/ J
*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM
& ]7 f! W& n: Z
2 K. a! c8 l- Q, ` Z( E$ {
3 M$ P. ~3 g3 O4 ^/ u4 S- S8 `精彩推荐9 Q& r$ I8 D8 y) A% ]2 ], r. l
 ( E4 c# H% c* i2 _9 n! ]$ ]+ N
    
; }5 h* {; B0 F) ~3 V
+ a3 J+ ~! ]6 I# \来源:http://mp.weixin.qq.com/s?src=11×tamp=1563112804&ver=1728&signature=yBdq8owR*vzAiu8ucT3PFs3IgIaZQApVC*q3C0wj5jdpDc5MuxuRXtgxUSq0lzeApamK82MtXg4S3CPrQchFev5IbYHh9A8-tJmoSyp9-4eotp6mi7eX8gUiIEDMxx0Y&new=13 N! P0 Z9 A% |& I+ k
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-7-14 22:21:39
