近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等,目前国内已有多家大型医院率先发现感染案例!, D, \8 n0 V. Q. F! K
" h0 ^" E6 q# V
# w) a/ t7 K/ H" j2 r
- L2 C6 q& y. }, AAres是希腊神话里的战神阿瑞斯,Zeus是主神宙斯,Aphrodite是爱与美之女神阿佛洛狄忒,Apollon是光明、音乐、预言与医药之神阿波罗,通过查阅资料意外发现,以上四位均是奥林匹斯十二主神,也就是古希腊宗教中最受崇拜的十二位神。从上图,可以看到,目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本,我们将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本,相信后续一定会不断出现以其他主神命名的新加密后缀。, Q2 l! q* D" c7 Q( d9 S( E
" t( M- q& B3 C7 @
(注:以上截图,来自百度百科,红色圈圈的,均为已出现的相应勒索加密后缀版本。)
( l r; t% r" B# j0 |$ z我们以Ares666加密勒索后缀为例,在 VirusTotal 上发现,样本上传时间点是 2019 年 7 月 7 号,而在其它威胁情报中也检索到,都集中在 2019 年 7 月初,可见这是最新升级并释放出来的版本。
( j& l$ u+ N9 @9 c, F
" s4 Z5 B3 m4 w4 S8 S其实,在早前,深信服已经跟踪到了 Globelmposter“十二生肖”版本,也就是Globelmposter3.0,其加密后缀以*4444为主要特征,典型后缀包括十二生肖后缀Dragon4444(龙)、Pig4444(猪)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(鸡)、Rat4444、Horse4444(马)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。
6 E' h+ M& A0 C0 q. ~8 t3 ^5 z; l5 |) T我们经过对比分析,确认 “十二主神”版就是“十二生肖”的升级版本,也就是说,Globelmposter“十二主神”版,是Globelmposter3.0的更新版本,目前依然无法解密,已有多家医院的多台服务中招,业务出现瘫痪,危害巨大。% l4 j$ u' _6 {
其实,国内一直饱受Globelmposter勒索病毒的侵害,涉及不同行业,覆盖行业有医疗、政府、能源、贸易等。其中,该勒索病毒对国内医疗行业危害最大。在受Globelmposter感染的各个行业中,医疗行业占到47.4%,接近一半,详情见下图:
; u- w6 [$ p$ [* |
' e0 H5 J* P3 h. k8 F医疗行业占比高的主要原因在于,该行业具有很大的业务紧迫性,一旦被勒索,将导致业务中断,造成的损失不可估量,受害者为了快速恢复业务,会选择给黑客支付赎金,这使得攻击者更容易达到他的目的。此外,境外黑客势力并不会管这个行业的特殊性和公益性,较之以往更加变本加厉,给医疗卫生行业带来了巨大的挑战。" R9 |$ h9 J1 o. ?
2018年春节年后,影响最恶劣的医疗安全事件,就是Globelmposter做的,从此,黑客也开始不断向医院下手,可谓毫无人性。
- I, X9 L: ]; K/ h5 D/ \: Y" \6 g1 A1 j- l) C( @
( 注:以上截图,来自Freebuf。)
1 t \5 m: v& f& K虽然勒索病毒的传播感染方式多种多样,使用的技术也不断升级,但勒索病毒主要采用的加密算法依旧是RSA+AES相结合的高强度加密算法,导致加密后的文件,多数情况下是无法被解密,所以危害巨大。
* o1 g5 P4 c1 x4 V: tGlobelmposter勒索病毒变种通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索,深信服安全团队密切关注该勒索病毒家族的发展动态,对捕获的变种样本进行了详细分析。
1 c1 C/ }3 n1 j5 C' h$ z8 k4 K' u0 s0 G* a( N. f
一、详细分析
4 I9 L" M8 |0 h/ k3 u9 ]2 X) Z6 Z% Z) V
此勒索病毒为了保证正常运行,先关闭了 Windows defender :
2 c4 H" Z8 p0 \
! j) @% m! C0 E! W$ W/ X' a6 T接着,创建自启动项,启动项命名为 ”WindowsUpdateCheck” :
1 k/ U( G2 ?( F6 j( V " l1 c2 j% P# z0 ^
通过执行cmd命令删除磁盘卷影、停止数据库服务:" j7 L, h [- m( h. W" s
" X$ _' a/ O/ I' u h7 l历卷并将其挂载:
, T1 r& L& f& v$ l
9 M4 m' @! M$ v4 L0 K% d& P系统保留卷被挂载:% g( j1 I6 c" _) ~7 P% p
2 ]1 Q! {' U0 W, g8 d; \遍历磁盘文件:9 A; Y; C' z6 U: |0 |) C9 {
/ h h1 N- b$ S1 X5 X排除以下文件及目录:
5 B3 _+ U7 j: X2 Q' l& R+ M9 n+ b' a6 ^: g5 ^* y
- $ K. B. i7 m& f2 q' c/ Y" A9 W
“ . ”、“ .. ”、 windows 、 bootmgr 、 pagefile.sys 、 boot 、 ids.txt 、 NTUSER.DAT 、 PerfLogs ;排除以下后缀名的文件:8 U/ ^. q& L0 {6 K
, B% i; q( e0 \! w0 [7 I8 k
- @ S" ~6 B$ y; f* B3 H, S
“ .dll ”、“ .lnk ”、“ .ini ”、“ .sys ”
0 `* K% I: \( n8 x9 B对其余文件进行加密,加密后缀名为 ”Ares666” :9 J8 x* D4 f# \2 J/ B1 @, s; G
4 x Q4 j+ x- ^
生成勒索信息文件 “ HOW TO BACK YOUR FILES.txt ”:9 E/ k! i f+ p/ u; m5 }+ C7 w
/ U' E/ t- l* k# k, W" c& J勒索信息如下:; p3 c& N i; c( U8 N) w( ~$ w
* \* N/ n0 C/ m% _0 @& J! ?: R
加密完成后,删除自启动项:
% L$ ^% L" h" ?$ Z2 Y: ?
; R* a" J( d: H1 A执行cmd命令删除磁盘卷影、删除远程桌面连接信息、清除系统日志:
( L( I, X& h9 |0 o# k6 \( M: b: `3 ?& P1 c5 T% Q
最后,病毒文件进行自删除处理:5 _! U9 i' x: ~: y* e6 ~) W
# y1 L9 e6 y/ K! o( T2 I/ Q二、解决方案8 @1 U. A |, |2 `
& S) l0 L+ I! Q针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。% K) y" X9 t2 g% _
病毒检测查杀
( H V6 c) ~9 a
) @" ]9 |. I, C5 W9 y$ ~1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
2 _6 G+ U$ f: C$ R; c: E2 c. z[color=#777575 !important]64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
( y6 r2 S8 H1 @5 i: H[color=#777575 !important]32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z & \6 _0 B x$ G- d0 o
病毒防御
1 \4 c3 O1 J- H, g4 @, `$ c1 ?0 P* [* @4 Y. P, ^
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:( K) {, u5 _& N0 p
[color=#777575 !important]1、及时给电脑打补丁,修复漏洞。
) |" y9 j! a+ J0 X3 x- c3 ]7 C+ z9 E4 V# X[color=#777575 !important]2、对重要的数据文件定期进行非本地备份。: s Z( P, i0 _
[color=#777575 !important]3、不要点击来源不明的邮件附件,不从不明网站下载软件。* I1 r4 S; S) x8 u
[color=#777575 !important]4、尽量关闭不必要的文件共享权限。
: X6 c" H8 {. W[color=#777575 !important]5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
% m9 N5 }# ?( F: n[color=#777575 !important]6、如果业务上无需使用RDP的,建议关闭RDP。
6 q0 v3 _ `7 k& k- ~$ o$ m 最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。" d j; m' r! D# a7 P
*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM0 d }- |; j8 b. h/ r, F' ?$ ]
' U7 H0 [7 @ B6 U) W+ g! ~
* t7 P5 d# j1 j$ k' T- h+ ~4 L; S' ~精彩推荐+ t; \: a- h! u: N5 F; ]# |
. o2 r9 Y5 l( y3 g; Z    
9 y: G; B; @8 \6 J6 b% w7 L+ H5 M+ s
来源:http://mp.weixin.qq.com/s?src=11×tamp=1563112804&ver=1728&signature=yBdq8owR*vzAiu8ucT3PFs3IgIaZQApVC*q3C0wj5jdpDc5MuxuRXtgxUSq0lzeApamK82MtXg4S3CPrQchFev5IbYHh9A8-tJmoSyp9-4eotp6mi7eX8gUiIEDMxx0Y&new=1" ^- h5 A2 q. t( t5 R; `
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-7-14 22:21:39
