近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等,目前国内已有多家大型医院率先发现感染案例!
Y% h4 Z/ w$ h5 {- i
; a- z1 }- V* m$ b+ y2 T% `
* c. y: G- j, N# G$ f; M) t( @
( K1 w! m* r$ B/ iAres是希腊神话里的战神阿瑞斯,Zeus是主神宙斯,Aphrodite是爱与美之女神阿佛洛狄忒,Apollon是光明、音乐、预言与医药之神阿波罗,通过查阅资料意外发现,以上四位均是奥林匹斯十二主神,也就是古希腊宗教中最受崇拜的十二位神。从上图,可以看到,目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本,我们将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本,相信后续一定会不断出现以其他主神命名的新加密后缀。
! b/ o3 Y; [; E1 ^ P8 J: F! O) g2 q6 u& f, ~/ j' ^( J
(注:以上截图,来自百度百科,红色圈圈的,均为已出现的相应勒索加密后缀版本。)
1 d9 x' N- m* S& {. e) |我们以Ares666加密勒索后缀为例,在 VirusTotal 上发现,样本上传时间点是 2019 年 7 月 7 号,而在其它威胁情报中也检索到,都集中在 2019 年 7 月初,可见这是最新升级并释放出来的版本。9 X8 O% e5 w3 L
( r4 P' ~: U C! H
其实,在早前,深信服已经跟踪到了 Globelmposter“十二生肖”版本,也就是Globelmposter3.0,其加密后缀以*4444为主要特征,典型后缀包括十二生肖后缀Dragon4444(龙)、Pig4444(猪)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(鸡)、Rat4444、Horse4444(马)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。
% `/ \9 v" C( z$ {0 B/ ~我们经过对比分析,确认 “十二主神”版就是“十二生肖”的升级版本,也就是说,Globelmposter“十二主神”版,是Globelmposter3.0的更新版本,目前依然无法解密,已有多家医院的多台服务中招,业务出现瘫痪,危害巨大。
/ ^% K! M! K/ p# k/ F* v- c其实,国内一直饱受Globelmposter勒索病毒的侵害,涉及不同行业,覆盖行业有医疗、政府、能源、贸易等。其中,该勒索病毒对国内医疗行业危害最大。在受Globelmposter感染的各个行业中,医疗行业占到47.4%,接近一半,详情见下图:+ g# @. }, p/ E1 T* J! L7 B/ p
) z! A) Y$ l! ~1 C& S9 ?4 Y/ L
医疗行业占比高的主要原因在于,该行业具有很大的业务紧迫性,一旦被勒索,将导致业务中断,造成的损失不可估量,受害者为了快速恢复业务,会选择给黑客支付赎金,这使得攻击者更容易达到他的目的。此外,境外黑客势力并不会管这个行业的特殊性和公益性,较之以往更加变本加厉,给医疗卫生行业带来了巨大的挑战。! u# H) Z# g. C- X ]
2018年春节年后,影响最恶劣的医疗安全事件,就是Globelmposter做的,从此,黑客也开始不断向医院下手,可谓毫无人性。
) T9 y0 y, h5 w# @9 Q0 I6 C
8 |0 [% O% x6 N8 i; j( 注:以上截图,来自Freebuf。)
' |0 v ~; A5 O* `9 N3 O; S虽然勒索病毒的传播感染方式多种多样,使用的技术也不断升级,但勒索病毒主要采用的加密算法依旧是RSA+AES相结合的高强度加密算法,导致加密后的文件,多数情况下是无法被解密,所以危害巨大。/ l! w$ y; A9 A5 a3 X) ~' G5 M7 w6 Z
Globelmposter勒索病毒变种通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索,深信服安全团队密切关注该勒索病毒家族的发展动态,对捕获的变种样本进行了详细分析。
7 j p% y; E; K8 u4 m& m6 X w) e3 C( y& b6 \
一、详细分析0 y8 q& e7 P8 ?' C9 t
' G: f5 c7 a7 k8 L+ O8 D此勒索病毒为了保证正常运行,先关闭了 Windows defender :
7 h6 y4 x0 g/ L8 @0 m' {' G- K: `- X2 d7 f0 R
接着,创建自启动项,启动项命名为 ”WindowsUpdateCheck” :8 S7 a3 {3 n/ L4 m2 w" [
 * J g7 Q) `2 y/ q& R( X
通过执行cmd命令删除磁盘卷影、停止数据库服务:. y E/ k: K1 m; i
9 d* E) W. ^! K. r( G
历卷并将其挂载:
6 j3 b+ U# \- a/ M+ H3 J5 L8 J# t }; G- k. Z6 r/ f$ R& k
系统保留卷被挂载:
/ E- ^& a2 K$ H' K; w1 z0 a6 ?, n- `
遍历磁盘文件:
3 m' r& @; B7 \0 Z
V. O' w+ U7 ~! Y3 _排除以下文件及目录:" w- }# V9 V8 {9 ?& K$ g
3 I" ^; |7 u9 _3 n# _6 ^" b a3 f$ B. t' O
- : U2 {( B, X2 d/ T4 z4 K2 b
“ . ”、“ .. ”、 windows 、 bootmgr 、 pagefile.sys 、 boot 、 ids.txt 、 NTUSER.DAT 、 PerfLogs ;排除以下后缀名的文件:2 J9 _0 L+ n/ R
( Q x8 M. X& k: T
9 N6 I3 B6 J4 a3 ~8 \5 K “ .dll ”、“ .lnk ”、“ .ini ”、“ .sys ”6 n2 k' z1 Z B
对其余文件进行加密,加密后缀名为 ”Ares666” :
; B+ V$ B% K+ ]/ r9 I7 `
2 W0 R2 u# S+ f7 Z0 _% a8 c a2 I生成勒索信息文件 “ HOW TO BACK YOUR FILES.txt ”:" L3 J F* e9 F1 x
' x% m: e4 X( R0 ~
勒索信息如下:
: x. z2 j e T/ e4 q" `* z1 V$ x1 b) ` B M( P. u, g" G; ?
加密完成后,删除自启动项:
) B+ R) v& e# ^
6 Y5 _/ j& U2 d" p7 M0 Z$ z) u2 c5 }执行cmd命令删除磁盘卷影、删除远程桌面连接信息、清除系统日志:
. G J7 j- k6 V% u% L3 P* P) z: H2 u# g6 f7 l [$ D
最后,病毒文件进行自删除处理:3 R/ {" B) |7 v6 X6 B3 Z3 W3 T
# e" |: z. f8 z0 i! G( `3 j二、解决方案
' ~# U* ?/ l. |6 U+ }0 I
3 ~6 V; x4 ^2 t8 d针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
+ Q7 f. Z' x" ~- e. g: }病毒检测查杀
- F m! _/ U$ e$ G; g$ n) b3 ~1 H$ w! j5 E% G: f* R' k
1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。7 ]$ p; l, c$ o+ C& a3 T
[color=#777575 !important]64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
; I+ V3 Q+ P/ q- T6 A. I[color=#777575 !important]32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
3 M7 r, u# o: t, m9 I6 z, d. ~# w
病毒防御7 f3 F* k7 O& H% Q( X+ N
, \1 v& r9 M/ j$ o/ K% `4 f) g
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
0 K8 X. r& c9 b9 f[color=#777575 !important]1、及时给电脑打补丁,修复漏洞。0 X) R! v/ p, l9 `: X7 Z7 I
[color=#777575 !important]2、对重要的数据文件定期进行非本地备份。4 Q# O( I; p4 ]8 U c8 {- j
[color=#777575 !important]3、不要点击来源不明的邮件附件,不从不明网站下载软件。- f' \9 s6 _7 d
[color=#777575 !important]4、尽量关闭不必要的文件共享权限。
" g5 E4 d9 g# k+ n3 C2 U[color=#777575 !important]5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。4 d2 L5 ^$ T& Y4 q( q, Z2 [ B
[color=#777575 !important]6、如果业务上无需使用RDP的,建议关闭RDP。$ A6 u+ X) M4 ~3 H" E
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。
3 g) v$ p6 d4 T*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM% S7 j# {- C9 u& N+ @( Q) b: `* f) n
! D2 K$ h4 ~' Y
) f2 ]+ x7 q8 B& u. g0 A: h精彩推荐
+ h2 [( V2 C j3 o1 i- d) J
( w# L7 F6 n! I6 B M E- A     9 J: M2 |, u% }2 S3 X
- b9 J! F" F4 ]来源:http://mp.weixin.qq.com/s?src=11×tamp=1563112804&ver=1728&signature=yBdq8owR*vzAiu8ucT3PFs3IgIaZQApVC*q3C0wj5jdpDc5MuxuRXtgxUSq0lzeApamK82MtXg4S3CPrQchFev5IbYHh9A8-tJmoSyp9-4eotp6mi7eX8gUiIEDMxx0Y&new=1, ^3 x# B9 U3 {' a
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-7-14 22:21:39
