近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等,目前国内已有多家大型医院率先发现感染案例!% f" \+ l; i l( S) H
/ X5 I1 n7 p- x$ m& Q
7 A2 ^/ w v* G
, t9 ?( T. U; A3 [# w8 Y! J, d- R4 YAres是希腊神话里的战神阿瑞斯,Zeus是主神宙斯,Aphrodite是爱与美之女神阿佛洛狄忒,Apollon是光明、音乐、预言与医药之神阿波罗,通过查阅资料意外发现,以上四位均是奥林匹斯十二主神,也就是古希腊宗教中最受崇拜的十二位神。从上图,可以看到,目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本,我们将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本,相信后续一定会不断出现以其他主神命名的新加密后缀。2 }. Y3 I% T' D1 x. k4 G3 p H
' D6 W! C, ]' ^. p6 K$ J
(注:以上截图,来自百度百科,红色圈圈的,均为已出现的相应勒索加密后缀版本。)0 A+ `& I! F0 i: _5 ?
我们以Ares666加密勒索后缀为例,在 VirusTotal 上发现,样本上传时间点是 2019 年 7 月 7 号,而在其它威胁情报中也检索到,都集中在 2019 年 7 月初,可见这是最新升级并释放出来的版本。0 K1 U4 `. b1 c! M
9 z a: W( R1 T/ L5 Z- s) w: @
其实,在早前,深信服已经跟踪到了 Globelmposter“十二生肖”版本,也就是Globelmposter3.0,其加密后缀以*4444为主要特征,典型后缀包括十二生肖后缀Dragon4444(龙)、Pig4444(猪)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(鸡)、Rat4444、Horse4444(马)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。
# l5 w& g" f- e( V0 ?. w% }# W+ n我们经过对比分析,确认 “十二主神”版就是“十二生肖”的升级版本,也就是说,Globelmposter“十二主神”版,是Globelmposter3.0的更新版本,目前依然无法解密,已有多家医院的多台服务中招,业务出现瘫痪,危害巨大。
6 v# n" c8 y9 x) P' G! \# T$ F! s; D其实,国内一直饱受Globelmposter勒索病毒的侵害,涉及不同行业,覆盖行业有医疗、政府、能源、贸易等。其中,该勒索病毒对国内医疗行业危害最大。在受Globelmposter感染的各个行业中,医疗行业占到47.4%,接近一半,详情见下图:% o, j+ ~! {! \; L2 M/ |$ y
+ d9 \* w c5 b' ]% M; t" \
医疗行业占比高的主要原因在于,该行业具有很大的业务紧迫性,一旦被勒索,将导致业务中断,造成的损失不可估量,受害者为了快速恢复业务,会选择给黑客支付赎金,这使得攻击者更容易达到他的目的。此外,境外黑客势力并不会管这个行业的特殊性和公益性,较之以往更加变本加厉,给医疗卫生行业带来了巨大的挑战。7 }( j* s) e8 P7 L& f* U
2018年春节年后,影响最恶劣的医疗安全事件,就是Globelmposter做的,从此,黑客也开始不断向医院下手,可谓毫无人性。
+ ]# M v* k4 q- | U4 d! `6 A3 P$ [: G1 p+ K
( 注:以上截图,来自Freebuf。)/ ]2 L. d. A, S, ~
虽然勒索病毒的传播感染方式多种多样,使用的技术也不断升级,但勒索病毒主要采用的加密算法依旧是RSA+AES相结合的高强度加密算法,导致加密后的文件,多数情况下是无法被解密,所以危害巨大。! ~0 `4 l# X) u* i6 Q
Globelmposter勒索病毒变种通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索,深信服安全团队密切关注该勒索病毒家族的发展动态,对捕获的变种样本进行了详细分析。# S0 k5 }. {) {* S
4 J0 G b0 T A% P8 I, X一、详细分析0 l9 ^( H6 l+ d5 V: t) }
5 [) z- f: K6 s8 N/ w# K此勒索病毒为了保证正常运行,先关闭了 Windows defender :1 p6 T0 H: M3 M6 _3 c. b* `
2 d6 L2 _1 ~, }) x d接着,创建自启动项,启动项命名为 ”WindowsUpdateCheck” :4 d' k) t$ ]" w X" k* ^$ v- q+ E: Y
 $ y# [* Q7 h$ h6 G. v
通过执行cmd命令删除磁盘卷影、停止数据库服务:/ b+ y6 M2 k q7 M5 O5 K
/ i( a' A; z' R/ ]2 S- F1 o7 t# M历卷并将其挂载:! n" z& p o' g# c
: N1 M. G2 F0 c3 Q0 m* T
系统保留卷被挂载:
8 z2 u, ^; T+ G* x7 B! a3 H/ Q# k. l$ I6 y" x. X: H" k
遍历磁盘文件:$ a p3 w& p! W" K
+ p8 c, E% l: q% ]: B |5 D& B1 H5 P* b排除以下文件及目录:/ n2 L, p2 z! Z+ f M" D2 o
( ~: A5 l5 k* I- 5 |) Q. e- ^0 |# I+ e9 \$ n
“ . ”、“ .. ”、 windows 、 bootmgr 、 pagefile.sys 、 boot 、 ids.txt 、 NTUSER.DAT 、 PerfLogs ;排除以下后缀名的文件:
, h! ]1 e/ @) R3 l* w! ~( U/ |! v" ]7 m# @& z% |
- 1 Y, }0 g5 H2 i4 h- C; g6 R: H7 u
“ .dll ”、“ .lnk ”、“ .ini ”、“ .sys ”1 E ]3 U% k* i* X: f! ]
对其余文件进行加密,加密后缀名为 ”Ares666” :
" P: c5 O; w. ?2 C. h
% R1 Y& O$ Y: A) p: O3 @% C生成勒索信息文件 “ HOW TO BACK YOUR FILES.txt ”:/ \2 M5 e& G$ i5 ~
- S" `+ X8 p! V4 R( J
勒索信息如下:- r" N* ?4 G* ~: H: E# }6 @
: _' G! c# ^; c
加密完成后,删除自启动项:: y, c7 h- Y5 _# p. h2 w/ m
& ]. y. u, f& D2 X) F8 Q' V
执行cmd命令删除磁盘卷影、删除远程桌面连接信息、清除系统日志:
& M( b. U% \6 |6 u7 n6 R+ J$ i7 b* C0 M& E B M
最后,病毒文件进行自删除处理:
- Q8 u2 \; N0 s. ?" W) B q: w# M) F: A' L, N/ E
二、解决方案" G: {) g5 f9 Q. b6 I
3 j7 z$ v. E# P* z! P2 a& T' r1 t ]
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。2 s+ ]2 L9 Z: m* t! k7 v0 }2 h! u
病毒检测查杀
2 F8 e! g: P6 _2 X* W2 E8 x, o1 X: p$ M/ @0 A: ?- c
1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
% N+ r1 ~9 y" i[color=#777575 !important]64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
& R, X; T7 c1 j3 t* j2 M* z4 J[color=#777575 !important]32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z + s# ~! U4 @$ {0 \* L. }4 B, u
病毒防御5 W# H# p% G+ d
* F& ?% v- l. {" Z; `6 |- W
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
! N7 ]' k; P8 \# Y1 G _" x5 g[color=#777575 !important]1、及时给电脑打补丁,修复漏洞。" X8 [8 X8 p, C) y) T& L/ p$ q* i
[color=#777575 !important]2、对重要的数据文件定期进行非本地备份。
% l+ i% c9 [: L+ H+ T[color=#777575 !important]3、不要点击来源不明的邮件附件,不从不明网站下载软件。
) x& S. W! W* f$ E[color=#777575 !important]4、尽量关闭不必要的文件共享权限。
4 m( i; f/ G2 R# r7 Y Z; G7 y[color=#777575 !important]5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。9 V w- F* F. l+ W6 r5 p' u
[color=#777575 !important]6、如果业务上无需使用RDP的,建议关闭RDP。
?0 c- T) K( M* @1 ] 最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。
/ v0 J7 a# ~. J8 ~+ ~*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM
7 x$ s C: G- i% z3 Z3 v) S. [& h" O' n n/ F3 n
- L V6 [: k; P精彩推荐6 f1 F9 ?$ ^6 i% w: X
 S$ ?& H6 V4 Q6 b- f
    
4 }- y# P; H: A
; D1 f) H: J4 V; e. r9 L4 n/ ~来源:http://mp.weixin.qq.com/s?src=11×tamp=1563112804&ver=1728&signature=yBdq8owR*vzAiu8ucT3PFs3IgIaZQApVC*q3C0wj5jdpDc5MuxuRXtgxUSq0lzeApamK82MtXg4S3CPrQchFev5IbYHh9A8-tJmoSyp9-4eotp6mi7eX8gUiIEDMxx0Y&new=1
, s. g0 I, U! {2 r6 ~, T免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-7-14 22:21:39
