|
|
近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等,目前国内已有多家大型医院率先发现感染案例!
4 A9 ~, y3 _& _4 M, @6 r
& H" |( i$ \$ ?! w8 \. v8 _0 \6 C& l) f/ f
% e. N9 n; V0 H+ A, |* A* {4 `Ares是希腊神话里的战神阿瑞斯,Zeus是主神宙斯,Aphrodite是爱与美之女神阿佛洛狄忒,Apollon是光明、音乐、预言与医药之神阿波罗,通过查阅资料意外发现,以上四位均是奥林匹斯十二主神,也就是古希腊宗教中最受崇拜的十二位神。从上图,可以看到,目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本,我们将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本,相信后续一定会不断出现以其他主神命名的新加密后缀。/ R6 k/ _. [( {6 B' s$ `6 W( z
1 `0 M* U9 i; |0 Q" j2 Z
(注:以上截图,来自百度百科,红色圈圈的,均为已出现的相应勒索加密后缀版本。)6 M6 ^6 i7 j7 o5 K
我们以Ares666加密勒索后缀为例,在 VirusTotal 上发现,样本上传时间点是 2019 年 7 月 7 号,而在其它威胁情报中也检索到,都集中在 2019 年 7 月初,可见这是最新升级并释放出来的版本。
/ ]% c# \; |4 C/ T) g9 e$ J. H1 p, K! l# Q, H& }1 j7 Q
其实,在早前,深信服已经跟踪到了 Globelmposter“十二生肖”版本,也就是Globelmposter3.0,其加密后缀以*4444为主要特征,典型后缀包括十二生肖后缀Dragon4444(龙)、Pig4444(猪)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(鸡)、Rat4444、Horse4444(马)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。
" l- B d& C" b' Z我们经过对比分析,确认 “十二主神”版就是“十二生肖”的升级版本,也就是说,Globelmposter“十二主神”版,是Globelmposter3.0的更新版本,目前依然无法解密,已有多家医院的多台服务中招,业务出现瘫痪,危害巨大。5 W* B* f- G# n) A5 M7 p2 w
其实,国内一直饱受Globelmposter勒索病毒的侵害,涉及不同行业,覆盖行业有医疗、政府、能源、贸易等。其中,该勒索病毒对国内医疗行业危害最大。在受Globelmposter感染的各个行业中,医疗行业占到47.4%,接近一半,详情见下图:' O- c. Z% f7 M7 m" \
6 z! U$ L! v' j, O
医疗行业占比高的主要原因在于,该行业具有很大的业务紧迫性,一旦被勒索,将导致业务中断,造成的损失不可估量,受害者为了快速恢复业务,会选择给黑客支付赎金,这使得攻击者更容易达到他的目的。此外,境外黑客势力并不会管这个行业的特殊性和公益性,较之以往更加变本加厉,给医疗卫生行业带来了巨大的挑战。
3 b9 u$ A) M, p/ U- x) I/ ~: K [; [2018年春节年后,影响最恶劣的医疗安全事件,就是Globelmposter做的,从此,黑客也开始不断向医院下手,可谓毫无人性。& {9 B) D5 a K0 P
/ r5 Y" d% ^7 |; g8 Z( 注:以上截图,来自Freebuf。)0 p- y) V# A1 S* d G0 |( V
虽然勒索病毒的传播感染方式多种多样,使用的技术也不断升级,但勒索病毒主要采用的加密算法依旧是RSA+AES相结合的高强度加密算法,导致加密后的文件,多数情况下是无法被解密,所以危害巨大。
1 y0 K; H t0 J5 k0 e/ C3 @Globelmposter勒索病毒变种通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索,深信服安全团队密切关注该勒索病毒家族的发展动态,对捕获的变种样本进行了详细分析。8 Q+ J& ?% S3 @& Y, k6 C& M t
- ?; e* ^# ~1 b1 d. M {0 {9 R
一、详细分析
- M. v$ k9 ]8 U. b0 ?5 _3 H. K- k7 T7 G% B; [' X
此勒索病毒为了保证正常运行,先关闭了 Windows defender :3 G- g& v; f' Y; @' z
/ m4 N7 U8 Q( {% _/ s接着,创建自启动项,启动项命名为 ”WindowsUpdateCheck” :
/ e9 g i0 h; e$ {& I4 L; w! p
3 j4 k. R$ w* w- z" i+ Y! n* `2 i通过执行cmd命令删除磁盘卷影、停止数据库服务:* K* m, {4 v& |6 S
- n8 s5 E y, G& `! J) V4 T, U历卷并将其挂载:
2 }" ]& P# |4 h) {( o$ b- D6 \( N3 T% _/ S3 O
系统保留卷被挂载:
9 P7 [# W. I G- b* g
. ?) C7 l: v' D6 ]- u( s遍历磁盘文件:, R8 O: |( h' t; W) S | z2 ?
$ Y& _0 e. z7 I9 I/ X) \) A
排除以下文件及目录:8 G* J2 _4 o( d' N! D/ e. }
0 c" ]- X6 G% g: {- D# r: R7 o# P
7 J9 w9 k7 ?+ H! n7 v4 e/ S “ . ”、“ .. ”、 windows 、 bootmgr 、 pagefile.sys 、 boot 、 ids.txt 、 NTUSER.DAT 、 PerfLogs ;排除以下后缀名的文件:8 A$ u) J: E' T5 L) ^; @
# w2 b0 S& M: C/ g- ( C! p" v: d) v6 z1 t
“ .dll ”、“ .lnk ”、“ .ini ”、“ .sys ” F* ?+ H9 ]' R- _: q
对其余文件进行加密,加密后缀名为 ”Ares666” :% O+ M! |+ z% \
% d* x4 s5 ]) L, u& f生成勒索信息文件 “ HOW TO BACK YOUR FILES.txt ”:* o* B' s- Z8 J. h* ^. e
! v* d3 M; s) ^4 }. {8 M勒索信息如下:
! s# V$ P# F0 p* i M3 i2 {7 i8 ^8 i. |7 y, A2 A4 i, u" \% U
加密完成后,删除自启动项:, L- C. ]( H5 P
% T1 ?: U5 A* N2 N3 H. Q. y执行cmd命令删除磁盘卷影、删除远程桌面连接信息、清除系统日志:
# N2 q9 `. e5 P# a9 m
n: M" t5 b H I) O& w, a最后,病毒文件进行自删除处理:
; p! d9 X _. a4 `
3 Y/ f# X' n9 k/ u$ l& e二、解决方案2 L' [7 F k2 ^- t
% n7 D5 R) f9 `3 k) C针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。1 M3 `8 m: }; L) w" r
病毒检测查杀
) a- R7 P/ h7 O# F+ s/ x; _5 @' i* @3 Y! t( b' s, V6 _2 O- ?
1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
& @1 M/ X! p4 R4 x! L' g$ ^[color=#777575 !important]64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
$ z1 y3 ?8 g4 }, A0 e( n[color=#777575 !important]32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
, s# u5 I, A3 s' C5 D; Q 病毒防御! d l6 v1 x+ g, `- M) [' i
( r3 U( B; _, r6 ~" }深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
) T7 e. V* a$ J( j& o[color=#777575 !important]1、及时给电脑打补丁,修复漏洞。! ]/ m( v6 @! V, z
[color=#777575 !important]2、对重要的数据文件定期进行非本地备份。+ K1 Z! ^1 y3 J8 g) B9 O
[color=#777575 !important]3、不要点击来源不明的邮件附件,不从不明网站下载软件。
: K1 C: B2 r! Z3 u' ?' t! r[color=#777575 !important]4、尽量关闭不必要的文件共享权限。
9 j( j8 v: L) j6 S/ o) d- \[color=#777575 !important]5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
8 ], |$ ^, h, T, a' v% F[color=#777575 !important]6、如果业务上无需使用RDP的,建议关闭RDP。
" o7 x2 c; X3 A2 ]# Z 最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。8 O+ X# @3 j) M8 K& Y0 C* c) A
*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM
' s4 F' Q$ V, Y' g
$ y: x) j+ S6 ?7 ]: `8 L
" v7 Z+ ~8 _& [6 Q( ~精彩推荐
# | W! _, B; w7 Z8 Q3 k }/ }! o* v : m( d8 f. ~5 X8 Y% S
     
6 o4 ^. K5 r6 m4 ^/ }' x8 v: ^* @# u+ {$ ^+ O; C# F' g
来源:http://mp.weixin.qq.com/s?src=11×tamp=1563112804&ver=1728&signature=yBdq8owR*vzAiu8ucT3PFs3IgIaZQApVC*q3C0wj5jdpDc5MuxuRXtgxUSq0lzeApamK82MtXg4S3CPrQchFev5IbYHh9A8-tJmoSyp9-4eotp6mi7eX8gUiIEDMxx0Y&new=10 H+ \' {" N5 ?; P/ g4 O
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|