• 新闻中心

      新闻中心  >  Globelmposter勒索病毒预警:从“十二生肖”到“十二主神”,,,为何国内医疗行业最受伤???
      Globelmposter勒索病毒预警:从“十二生肖”到“十二主神”,,,,为何国内医疗行业最受伤??
      背景图 2019-07-10 00:00:00

      近日,,,,岳阳千联安全团队观察到Globelmposter勒索病毒又出现最新变种,,,加密后缀有Ares666、、、、Zeus666、、、Aphrodite666、、Apollon666等。。。。目前在国内医疗行业已发现有感染案例!!

      病毒信息

      病毒名称:Globelmposter“十二主神”版本
      病毒性质:勒索病毒
      影响范围:目前国内多家医疗机构感染
      危害等级:高危
      传播方式:通过社会工程、、、RDP暴力破解入侵

      病毒描述

      这些后缀中,,,Ares是希腊神话里的战神阿瑞斯,,,Zeus是主神宙斯,,Aphrodite爱与美之女神阿佛洛狄忒,,,Apollon是光明、、、音乐、、、、预言与医药之神阿波罗。。
       
      以上四位均是奥林匹斯十二主神,,也就是古希腊宗教中最受崇拜的十二位神。。。也就是目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本,,,,岳阳千联将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本,,,,相信后续会不断出现其他以希腊主神命名的新加密后缀。。
      在早前,,岳阳千联已经跟踪到了Globelmposter“十二生肖”版本,,也就说Globelmposter3.0,,,,其加密后缀以*4444为主要特征,,,,典型后缀包括十二生肖后缀Dragon4444(龙)、、、Pig4444(猪)、、、Tiger4444(虎)、、Snake4444(蛇)、、、、Rooster4444(鸡)、、、、Rat4444(鼠)、、、、Horse4444(马)、、Dog4444(狗)、、、、Monkey4444(猴)、、Rabbit4444(兔)、、、、Goat4444(羊)等。。。

      经过对比分析,,,确认“十二主神”版本为“十二生肖”的升级版,,,,也就是说Globelmposter“十二主神”版本,,,是Globelmposter3.0的更新版本。。目前该病毒变种依然无法解密,,,已有多家医院的多台服务器感染病毒,,业务出现瘫痪,,危害巨大。。

      一直以来,,,国内一直饱受Globelmposter勒索病毒的侵害,,,,涉及不同行业,,覆盖行业有医疗、、、政府、、、能源、、贸易等行业。。所不同的是,,,此勒索家族,,,对国内医疗行业危害最大,,,Globelmposter受感染的各个行业如下,,可以看到受到Globelmposter侵害的比例,,,医疗行业占到47.4%,,接近一半:
      黑客之所以倾向于医疗行业最主要的原因是,,,,医疗卫生行业具有很大的业务紧迫性,,,一旦被勒索,,将导致业务中断,,,,造成的损失不可估量,,这又会导致这个行业的受害者为了快速恢复业务,,而选择给黑客支付赎金的方式。。。此外,,,境外黑客势力并不会顾及行业的特殊性和公益性,,较之以往更加变本加厉,,,,给医疗卫生行业带来了巨大的挑战。。。。

      比如2018年春节年后,,给社会带来恶劣影响的医疗安全事件,,就是Globelmposter病毒导致的。。从此,,,黑客也开始不断向医院下手,,,医疗行业饱受毒害。。
      注:以上截图,,,来自Freebuf。。。。

      尤其是,,勒索病毒的传播感染方式多种多样,,,,使用的技术也不断升级,,,且勒索病毒主要采用RSA+AES相结合的高强度加密算法,,,,导致加密后的文件,,,,多数情况下无法被解密,,,,危害巨大。。
      Globelmposter勒索病毒变种通过社会工程,,,RDP爆破,,恶意程序捆绑等方式进行传播,,,加密受害主机文件,,,,释放勒索信息进行勒索,,岳阳千联安全团队密切关注该勒索病毒家族的发展动态,,对捕获的变种样本进行了详细分析。。

      详细分析

      此勒索病毒为了保证正常运行,,先关闭了Windows defender:
      接着,,创建自启动项,,,启动项命名为”WindowsUpdateCheck”:
      通过执行cmd命令删除磁盘卷影、、停止数据库服务:
      遍历卷并将其挂载:
      系统保留卷被挂载:
      遍历磁盘文件,,,其中排除以下目录:“.”、、、、“..”、、windows、、bootmgr、、、、pagefile.sys、、boot、、、ids.txt、、、、NTUSER.DAT、、、、PerfLogs;以及以下后缀的文件:“.dll”、、、、“.lnk”、、“.ini”、、、“.sys”。。。。
      对其余文件进行加密,,加密后缀名比如“Ares666”:
      生成勒索信息文件“HOW TO BACK YOUR FILES.txt”,,文件信息如下:
      加密完成后,,删除自启动项:
      执行cmd命令删除自盘卷影、、删除远程桌面连接信息、、清除系统日志:
      最后,,,,病毒文件进行自删除处理:

      解决方案

      针对已经出现勒索现象的用户,,,由于暂时没有解密工具,,,建议尽快对感染主机进行断网隔离。。岳阳千联提醒广大用户尽快做好病毒检测与防御措施,,,,防范该病毒家族的勒索攻击。。

      病毒检测查杀

      岳阳千联为广大用户免费提供查杀工具,,可下载如下工具,,进行检测查杀。。。
      64位系统下载链接:https://edr.shaomei8.com/tool/SfabAntiBot_X64.7z
      32位系统下载链接:https://edr.shaomei8.com/tool/SfabAntiBot_X86.7z
      岳阳千联EDR产品及下一代防火墙等安全产品均具备病毒检测能力,,,部署相关产品用户可进行病毒检测。。

      病毒防御

      及时给电脑打补丁,,,,修复漏洞。。。。

      对重要的数据文件定期进行非本地备份。。。。

      不要点击来源不明的邮件附件,,,,不从不明网站下载软件。。

      尽量关闭不必要的文件共享权限。。。。

      更改账户密码,,,设置强密码,,,避免使用统一的密码,,,因为统一的密码会导致一台被攻破,,多台遭殃。。

      如果业务上无需使用RDP的,,,建议关闭RDP。。当出现此类事件时,,,推荐使用岳阳千联防火墙,,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,,,防止扩散!!!!

      岳阳千联下一代防火墙、、、终端检测响应平台(EDR)均有防爆破功能,,,防火墙开启此功能并启用11080051、、、、11080027、、11080016规则,,,,EDR开启防爆破功能可进行防御。。

      岳阳千联下一代防火墙用户,,建议升级到AF805版本,,,,并开启SAVE安全智能检测引擎,,,以达到最好的防御效果。。。

      使用岳阳千联安全产品,,接入安全云脑,,,,使用云查服务可以即时检测防御新威胁。。

      最后,,建议企业对全网进行一次安全检查和杀毒扫描,,,,加强防护工作。。推荐使用岳阳千联安全感知+防火墙+EDR,,,,对内网进行感知、、、查杀和防护。。

      咨询与服务

      您可以通过以下方式联系我们,,,,获取关于Globelmposter勒索病毒的免费咨询及支持服务:

      拨打电话400-630-6430转6号线(已开通勒索软件专线)

      关注【岳阳千联技术服务】微信公众号,,,,选择“智能服务”菜单,,,,进行咨询

      PC端访问岳阳千联区 bbs.shaomei8.com,,选择右侧智能客服,,进行咨询。。
      站点地图