勒索病毒最新预警：从“十二生肖”到“十二主神”

悦刈

近日，深信服安全团队观察到Globelmposter勒索病毒又出现最新变种，加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等，目前国内已有多家大型医院率先发现感染案例！
$ _- w" l' z2 f+ N' R/ X

" \& V# D9 H4 _& K/ ?+ i

Ares是希腊神话里的战神阿瑞斯，Zeus是主神宙斯，Aphrodite是爱与美之女神阿佛洛狄忒，Apollon是光明、音乐、预言与医药之神阿波罗，通过查阅资料意外发现，以上四位均是奥林匹斯十二主神，也就是古希腊宗教中最受崇拜的十二位神。从上图，可以看到，目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本，我们将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本，相信后续一定会不断出现以其他主神命名的新加密后缀。

$ d5 s# i4 W# S9 a4 S  S# n7 }5 @（注：以上截图，来自百度百科，红色圈圈的，均为已出现的相应勒索加密后缀版本。）
* L* f1 m  e) U- Q2 K, n3 _1 ^: {$ q. [我们以Ares666加密勒索后缀为例，在 VirusTotal 上发现，样本上传时间点是 2019 年 7 月 7 号，而在其它威胁情报中也检索到，都集中在 2019 年 7 月初，可见这是最新升级并释放出来的版本。
+ K4 V/ J( P# X6 c- B

其实，在早前，深信服已经跟踪到了 Globelmposter“十二生肖”版本，也就是Globelmposter3.0，其加密后缀以*4444为主要特征，典型后缀包括十二生肖后缀Dragon4444（龙）、Pig4444（猪）、Tiger4444（虎）、Snake4444（蛇）、Rooster4444（鸡）、Rat4444、Horse4444（马）、Dog4444（狗）、Monkey4444（猴）、Rabbit4444（兔）、Goat4444(羊)等。
我们经过对比分析，确认 “十二主神”版就是“十二生肖”的升级版本，也就是说，Globelmposter“十二主神”版，是Globelmposter3.0的更新版本，目前依然无法解密，已有多家医院的多台服务中招，业务出现瘫痪，危害巨大。
, N$ V% i8 Z; G" L/ O. ?: N# r其实，国内一直饱受Globelmposter勒索病毒的侵害，涉及不同行业，覆盖行业有医疗、政府、能源、贸易等。其中，该勒索病毒对国内医疗行业危害最大。在受Globelmposter感染的各个行业中，医疗行业占到47.4%，接近一半，详情见下图：

) p0 ]+ n' i# H: _0 l医疗行业占比高的主要原因在于，该行业具有很大的业务紧迫性，一旦被勒索，将导致业务中断，造成的损失不可估量，受害者为了快速恢复业务，会选择给黑客支付赎金，这使得攻击者更容易达到他的目的。此外，境外黑客势力并不会管这个行业的特殊性和公益性，较之以往更加变本加厉，给医疗卫生行业带来了巨大的挑战。
2018年春节年后，影响最恶劣的医疗安全事件，就是Globelmposter做的，从此，黑客也开始不断向医院下手，可谓毫无人性。

（ 注：以上截图，来自Freebuf。）
虽然勒索病毒的传播感染方式多种多样，使用的技术也不断升级，但勒索病毒主要采用的加密算法依旧是RSA+AES相结合的高强度加密算法，导致加密后的文件，多数情况下是无法被解密，所以危害巨大。
Globelmposter勒索病毒变种通过社会工程，RDP爆破，恶意程序捆绑等方式进行传播，加密受害主机文件，释放勒索信息进行勒索，深信服安全团队密切关注该勒索病毒家族的发展动态，对捕获的变种样本进行了详细分析。
/ y' g$ p$ z/ @; \1 `, Y7 v

一、详细分析

此勒索病毒为了保证正常运行，先关闭了 Windows defender ：

& a1 E, ?# g7 j5 O  S/ v" R7 V+ l接着，创建自启动项，启动项命名为 ”WindowsUpdateCheck” ：
1 ~" `" |9 l3 c, C$ v' \$ x
9 l* j% F1 q+ N* m7 c通过执行cmd命令删除磁盘卷影、停止数据库服务：
9 U/ t$ @; {7 F9 r. a4 z7 h& q

1 j$ u; q. v: ]9 `) _历卷并将其挂载：

' q  b( w  w% K; L, H  A+ o1 a系统保留卷被挂载：

遍历磁盘文件：
. n  z. e: D4 I) H: q& u

4 B5 C: S" [3 U排除以下文件及目录：

• 
  

“ . ”、“ .. ”、 windows 、 bootmgr 、 pagefile.sys 、 boot 、 ids.txt 、 NTUSER.DAT 、 PerfLogs ；排除以下后缀名的文件：
$ W1 q1 W( Z; A- {1 |+ t# N

• 
    y! I! }0 o* A- ?* c9 ^

“ .dll ”、“ .lnk ”、“ .ini ”、“ .sys ”

8 N' A4 @4 I4 p1 V* d# a对其余文件进行加密，加密后缀名为 ”Ares666” ：

* u2 i( B' I- i9 [- N& z2 O生成勒索信息文件 “ HOW TO BACK YOUR FILES.txt ”：
$ F' Q4 a$ u( ?; F4 v, b

5 G1 b5 q: ~5 m0 g# N4 O7 Y勒索信息如下：

2 e/ `& q# a1 j加密完成后，删除自启动项：
( e2 u5 y$ y# \2 c7 c0 G, y

' p- P" \6 B# O5 u8 v9 {- R2 D执行cmd命令删除磁盘卷影、删除远程桌面连接信息、清除系统日志：

- i9 B/ I; g0 f% l最后，病毒文件进行自删除处理：
5 c" v' y4 }3 _1 f" d% o

. u( g( V% u1 o6 x+ ~; ?二、解决方案
( b+ a( C6 V, S% O
, C  z; ?! n: K' w' u/ j- h' h! A针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施，防范该病毒家族的勒索攻击。
2 O3 X8 d! [6 z' _$ K病毒检测查杀

1、深信服为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀。

[color=#777575 !important]64位系统下载链接：http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

# Q! I, H  `2 f( b: t' U* }

[color=#777575 !important]32位系统下载链接：http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

: `  [" `% G! e/ L4 T) C

病毒防御
# {/ i. _# |* k
( A0 H# q" S0 U: Y+ U$ |- h5 v深信服安全团队再次提醒广大用户，勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施：
, |: @+ o" A8 ]: |$ I# D+ ^# Y  ]

[color=#777575 !important]1、及时给电脑打补丁，修复漏洞。
[color=#777575 !important]2、对重要的数据文件定期进行非本地备份。
2 T& q8 [8 h" [; v" N[color=#777575 !important]3、不要点击来源不明的邮件附件，不从不明网站下载软件。
4 I& q2 x2 m9 ~[color=#777575 !important]4、尽量关闭不必要的文件共享权限。
[color=#777575 !important]5、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。
, p% |/ n+ U1 x; j8 O3 J[color=#777575 !important]6、如果业务上无需使用RDP的，建议关闭RDP。

最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。
/ X+ Y+ _2 y8 o8 d8 V*本文作者：深信服千里目安全实验室，转载请注明来自FreeBuf.COM

5 `5 |" Q1 n0 K/ H) j' S
+ h. L% o7 w* ~4 o4 M% w精彩推荐

2 n% J) P# @, T
5 y- }7 v& f8 C$ B0 \! k9 R6 r
. m9 \( j& B# _% @7 A6 T! M/ j来源：http://mp.weixin.qq.com/s?src=11&timestamp=1563112804&ver=1728&signature=yBdq8owR*vzAiu8ucT3PFs3IgIaZQApVC*q3C0wj5jdpDc5MuxuRXtgxUSq0lzeApamK82MtXg4S3CPrQchFev5IbYHh9A8-tJmoSyp9-4eotp6mi7eX8gUiIEDMxx0Y&new=1
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！