京东6.18大促主会场领京享红包更优惠

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 7441|回复: 0

勒索病毒最新预警:从“十二生肖”到“十二主神”

[复制链接]

9

主题

0

回帖

10

积分

新手上路

积分
10
发表于 2019-7-14 22:21:39 | 显示全部楼层 |阅读模式 来自 中国
近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等,目前国内已有多家大型医院率先发现感染案例!
7 S# G) K7 L8 {: w+ Q; K

7 Q( E  a  l0 J7 I; ?
( c! I1 z9 o% C/ m
7 u1 K8 A6 [, L! t; p' Q5 Z
Ares是希腊神话里的战神阿瑞斯,Zeus是主神宙斯,Aphrodite是爱与美之女神阿佛洛狄忒,Apollon是光明、音乐、预言与医药之神阿波罗,通过查阅资料意外发现,以上四位均是奥林匹斯十二主神,也就是古希腊宗教中最受崇拜的十二位神。从上图,可以看到,目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本,我们将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本,相信后续一定会不断出现以其他主神命名的新加密后缀。. M1 n! Y! e5 q2 V$ h  G- I2 @. D

! J' z& y5 _/ @2 P(注:以上截图,来自百度百科,红色圈圈的,均为已出现的相应勒索加密后缀版本。)' z2 L* J- [7 t+ `# M9 M: J8 ^
我们以Ares666加密勒索后缀为例,在 VirusTotal 上发现,样本上传时间点是 2019 年 7 月 7 号,而在其它威胁情报中也检索到,都集中在 2019 年 7 月初,可见这是最新升级并释放出来的版本。: O' n! S. A: l' u
! C8 g( U" j) z" B3 d5 p
其实,在早前,深信服已经跟踪到了 Globelmposter“十二生肖”版本,也就是Globelmposter3.0,其加密后缀以*4444为主要特征,典型后缀包括十二生肖后缀Dragon4444(龙)、Pig4444(猪)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(鸡)、Rat4444、Horse4444(马)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。
9 j" p  X: f& [我们经过对比分析,确认 “十二主神”版就是“十二生肖”的升级版本,也就是说,Globelmposter“十二主神”版,是Globelmposter3.0的更新版本,目前依然无法解密,已有多家医院的多台服务中招,业务出现瘫痪,危害巨大。
9 d: `/ e! u( f7 G其实,国内一直饱受Globelmposter勒索病毒的侵害,涉及不同行业,覆盖行业有医疗、政府、能源、贸易等。其中,该勒索病毒对国内医疗行业危害最大。在受Globelmposter感染的各个行业中,医疗行业占到47.4%,接近一半,详情见下图:; [8 A3 X# s" \+ _
! _) _) K- N7 r  \1 m
医疗行业占比高的主要原因在于,该行业具有很大的业务紧迫性,一旦被勒索,将导致业务中断,造成的损失不可估量,受害者为了快速恢复业务,会选择给黑客支付赎金,这使得攻击者更容易达到他的目的。此外,境外黑客势力并不会管这个行业的特殊性和公益性,较之以往更加变本加厉,给医疗卫生行业带来了巨大的挑战。
/ U3 g* \% R, I4 k% L7 H8 f2018年春节年后,影响最恶劣的医疗安全事件,就是Globelmposter做的,从此,黑客也开始不断向医院下手,可谓毫无人性。
8 r) P" D" T3 H3 ]; `5 }7 H8 G

8 H; h: R4 Q3 ^3 ?3 U1 n( 注:以上截图,来自Freebuf。)
8 t& Y' w7 N& H. R' ?虽然勒索病毒的传播感染方式多种多样,使用的技术也不断升级,但勒索病毒主要采用的加密算法依旧是RSA+AES相结合的高强度加密算法,导致加密后的文件,多数情况下是无法被解密,所以危害巨大。
% @; d8 K9 R# d% n3 d1 _Globelmposter勒索病毒变种通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索,深信服安全团队密切关注该勒索病毒家族的发展动态,对捕获的变种样本进行了详细分析。* k5 m! B* ^2 w' p& [  z

) b! `9 _9 h6 Z# N* t2 G一、详细分析
% |" h  H. j; y" Y" ?7 M
& x1 ?% c' ]' A; j7 x9 U此勒索病毒为了保证正常运行,先关闭了 Windows defender :
% R& ~/ ]  T7 J$ j2 S0 N
* \3 l) w7 a2 {. u9 I" O* V' q
接着,创建自启动项,启动项命名为 ”WindowsUpdateCheck” :& p, [& s" ^' Q4 B2 z

# u& F" n. u; C% _) ~/ z( n通过执行cmd命令删除磁盘卷影、停止数据库服务:( o0 p# q3 z4 Z3 }& ]
% _" ~4 G, e  p4 Q
历卷并将其挂载:
1 c4 Y  c% V- s( [
+ W5 Y4 W) S* Q
系统保留卷被挂载:9 @6 s% m, g4 W

4 w) M6 j8 G; u+ t$ F" M1 ?遍历磁盘文件:1 P& c' n: G1 n7 Q6 O. L
$ p5 p, |  q) K2 A# ]: x  P
排除以下文件及目录:. `1 y" T9 G7 N! V1 K, w! y

    ( B# S1 o# Z* {; L2 ~- b

  • ! D7 q% n% f6 s& H% M) x) v
“ . ”、“ .. ”、 windows 、 bootmgr 、 pagefile.sys 、 boot 、 ids.txt 、 NTUSER.DAT 、 PerfLogs ;排除以下后缀名的文件:
: @0 D. H3 d: A2 ^

    , F5 D8 B( C0 d* S7 @9 ]  R
  • 9 h2 v8 X. C& X' L" ^( w
“ .dll ”、“ .lnk ”、“ .ini ”、“ .sys ”
  T' s/ a4 d, [& [: o5 K6 j
对其余文件进行加密,加密后缀名为 ”Ares666” :
! d8 Q) I3 M$ k) @& G% Z% ^8 d# m

* }$ J6 T1 }7 q2 Y7 J9 q生成勒索信息文件 “ HOW TO BACK YOUR FILES.txt ”:
' J' I) A5 X  }" D, K. [/ K

9 U" W8 y6 l+ D- a' p勒索信息如下:: z* ?- F5 g$ e- @4 q) ^
# h/ @' |3 y7 J7 H! G" u; C( {
加密完成后,删除自启动项:
" d# |0 M' K/ X4 I
* G! Y; [6 C7 @! _8 H8 D  L
执行cmd命令删除磁盘卷影、删除远程桌面连接信息、清除系统日志:2 S% G) c" {8 Q% a# P4 P& v1 n
+ K) D+ Q& f  b) U
最后,病毒文件进行自删除处理:
  v% C0 ~# x# a' ~( Q) x  t, M
. p  N) p" B" z. ?: N7 C8 t1 L
二、解决方案- F; G$ C; c/ S  G$ {
% A. m1 o" V! Y9 Y
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
3 z$ I9 V$ m( [! J病毒检测查杀0 [7 @# y- ~! O9 v* M9 m
/ R* E! d* W6 o
1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。+ r7 |: t8 A2 \8 Q
[color=#777575 !important]64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

" o9 O% X( z% j6 j
[color=#777575 !important]32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
5 `* S+ ?' O: @* G" h' C% V
病毒防御
( ^$ Q* y" ~, u3 z- U8 |: \9 M/ t9 S7 C! Q7 T( m  g# j: R
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
: ^2 z6 L+ l* j" O. e
[color=#777575 !important]1、及时给电脑打补丁,修复漏洞。
. i: }. i) K% y[color=#777575 !important]2、对重要的数据文件定期进行非本地备份。0 K% q4 W6 d( p6 N. r
[color=#777575 !important]3、不要点击来源不明的邮件附件,不从不明网站下载软件。
. u' P( P! n, S$ J[color=#777575 !important]4、尽量关闭不必要的文件共享权限。" L0 H7 l4 R3 o& t% u5 G
[color=#777575 !important]5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。% m" |3 r% T5 i8 P& R
[color=#777575 !important]6、如果业务上无需使用RDP的,建议关闭RDP。; a9 y+ t3 z  j
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。
: l! y; m. D0 i+ S*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM
0 z7 w" ~3 c4 o1 Y

, U% ]7 U' n3 K5 l2 X3 p3 }7 i. Q# a; Y; t( I2 z4 b* P/ P7 _" w
精彩推荐  e/ u4 N+ E3 b* P& Z6 Y2 L4 T
/ |1 [/ S5 Z. |+ ~* R# T: M

% i. |$ l; E8 N% r  g
- L) B. \# x) M% \% ^' S来源:http://mp.weixin.qq.com/s?src=11&timestamp=1563112804&ver=1728&signature=yBdq8owR*vzAiu8ucT3PFs3IgIaZQApVC*q3C0wj5jdpDc5MuxuRXtgxUSq0lzeApamK82MtXg4S3CPrQchFev5IbYHh9A8-tJmoSyp9-4eotp6mi7eX8gUiIEDMxx0Y&new=1
8 v4 o/ y% F6 }+ |3 G) D/ b免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

帖子地址: 

梦想之都-俊月星空 优酷自频道欢迎您 http://i.youku.com/zhaojun917
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|梦想之都-俊月星空 ( 粤ICP备18056059号 )|网站地图

GMT+8, 2026-7-17 12:44 , Processed in 0.053359 second(s), 25 queries .

Powered by Mxzdjyxk! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表