2. 新闻中心

      新闻中心  >  Globelmposter勒索病毒预警:从“十二生肖”到“十二主神”,,,为何国内医疗行业最受伤????
      Globelmposter勒索病毒预警:从“十二生肖”到“十二主神”,,,,为何国内医疗行业最受伤???
      背景图 2019-07-10 00:00:00

      近日,,,芯启时光安全团队观察到Globelmposter勒索病毒又出现最新变种,,,,加密后缀有Ares666、、Zeus666、、、Aphrodite666、、、、Apollon666等。。目前在国内医疗行业已发现有感染案例!!!!

      病毒信息

      病毒名称:Globelmposter“十二主神”版本
      病毒性质:勒索病毒
      影响范围:目前国内多家医疗机构感染
      危害等级:高危
      传播方式:通过社会工程、、、RDP暴力破解入侵

      病毒描述

      这些后缀中,,Ares是希腊神话里的战神阿瑞斯,,,,Zeus是主神宙斯,,Aphrodite爱与美之女神阿佛洛狄忒,,,,Apollon是光明、、、、音乐、、、预言与医药之神阿波罗。。。。
       
      以上四位均是奥林匹斯十二主神,,也就是古希腊宗教中最受崇拜的十二位神。。。。也就是目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本,,,,芯启时光将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本,,,相信后续会不断出现其他以希腊主神命名的新加密后缀。。。。
      在早前,,,芯启时光已经跟踪到了Globelmposter“十二生肖”版本,,,也就说Globelmposter3.0,,,,其加密后缀以*4444为主要特征,,,,典型后缀包括十二生肖后缀Dragon4444(龙)、、Pig4444(猪)、、、Tiger4444(虎)、、Snake4444(蛇)、、、、Rooster4444(鸡)、、、Rat4444(鼠)、、Horse4444(马)、、、Dog4444(狗)、、、、Monkey4444(猴)、、、、Rabbit4444(兔)、、、Goat4444(羊)等。。。

      经过对比分析,,,,确认“十二主神”版本为“十二生肖”的升级版,,,,也就是说Globelmposter“十二主神”版本,,是Globelmposter3.0的更新版本。。目前该病毒变种依然无法解密,,已有多家医院的多台服务器感染病毒,,,,业务出现瘫痪,,,危害巨大。。。。

      一直以来,,,,国内一直饱受Globelmposter勒索病毒的侵害,,,,涉及不同行业,,,覆盖行业有医疗、、、、政府、、、能源、、、贸易等行业。。。所不同的是,,此勒索家族,,对国内医疗行业危害最大,,,,Globelmposter受感染的各个行业如下,,可以看到受到Globelmposter侵害的比例,,,,医疗行业占到47.4%,,接近一半:
      黑客之所以倾向于医疗行业最主要的原因是,,,,医疗卫生行业具有很大的业务紧迫性,,一旦被勒索,,,,将导致业务中断,,造成的损失不可估量,,这又会导致这个行业的受害者为了快速恢复业务,,而选择给黑客支付赎金的方式。。。。此外,,境外黑客势力并不会顾及行业的特殊性和公益性,,,,较之以往更加变本加厉,,,给医疗卫生行业带来了巨大的挑战。。。。

      比如2018年春节年后,,,给社会带来恶劣影响的医疗安全事件,,,就是Globelmposter病毒导致的。。从此,,,黑客也开始不断向医院下手,,,医疗行业饱受毒害。。。
      注:以上截图,,,来自Freebuf。。。

      尤其是,,,勒索病毒的传播感染方式多种多样,,,,使用的技术也不断升级,,且勒索病毒主要采用RSA+AES相结合的高强度加密算法,,导致加密后的文件,,,多数情况下无法被解密,,,危害巨大。。。
      Globelmposter勒索病毒变种通过社会工程,,,RDP爆破,,,恶意程序捆绑等方式进行传播,,,,加密受害主机文件,,释放勒索信息进行勒索,,,芯启时光安全团队密切关注该勒索病毒家族的发展动态,,,对捕获的变种样本进行了详细分析。。

      详细分析

      此勒索病毒为了保证正常运行,,先关闭了Windows defender:
      接着,,,创建自启动项,,,启动项命名为”WindowsUpdateCheck”:
      通过执行cmd命令删除磁盘卷影、、、停止数据库服务:
      遍历卷并将其挂载:
      系统保留卷被挂载:
      遍历磁盘文件,,,其中排除以下目录:“.”、、、“..”、、windows、、、、bootmgr、、、pagefile.sys、、、、boot、、、ids.txt、、、NTUSER.DAT、、、PerfLogs;以及以下后缀的文件:“.dll”、、“.lnk”、、“.ini”、、、、“.sys”。。。
      对其余文件进行加密,,,,加密后缀名比如“Ares666”:
      生成勒索信息文件“HOW TO BACK YOUR FILES.txt”,,,,文件信息如下:
      加密完成后,,,,删除自启动项:
      执行cmd命令删除自盘卷影、、、、删除远程桌面连接信息、、清除系统日志:
      最后,,,病毒文件进行自删除处理:

      解决方案

      针对已经出现勒索现象的用户,,,由于暂时没有解密工具,,,建议尽快对感染主机进行断网隔离。。。。芯启时光提醒广大用户尽快做好病毒检测与防御措施,,防范该病毒家族的勒索攻击。。。。

      病毒检测查杀

      芯启时光为广大用户免费提供查杀工具,,,可下载如下工具,,,,进行检测查杀。。
      64位系统下载链接:https://edr.luyidan.com/tool/SfabAntiBot_X64.7z
      32位系统下载链接:https://edr.luyidan.com/tool/SfabAntiBot_X86.7z
      芯启时光EDR产品及下一代防火墙等安全产品均具备病毒检测能力,,,,部署相关产品用户可进行病毒检测。。

      病毒防御

      及时给电脑打补丁,,,修复漏洞。。

      对重要的数据文件定期进行非本地备份。。。。

      不要点击来源不明的邮件附件,,,,不从不明网站下载软件。。

      尽量关闭不必要的文件共享权限。。。。

      更改账户密码,,,设置强密码,,避免使用统一的密码,,,因为统一的密码会导致一台被攻破,,多台遭殃。。。

      如果业务上无需使用RDP的,,,建议关闭RDP。。。当出现此类事件时,,,推荐使用芯启时光防火墙,,,,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,,防止扩散!!

      芯启时光下一代防火墙、、、、终端检测响应平台(EDR)均有防爆破功能,,防火墙开启此功能并启用11080051、、、11080027、、11080016规则,,,EDR开启防爆破功能可进行防御。。。。

      芯启时光下一代防火墙用户,,,,建议升级到AF805版本,,,,并开启SAVE安全智能检测引擎,,,以达到最好的防御效果。。。

      使用芯启时光安全产品,,,接入安全云脑,,,,使用云查服务可以即时检测防御新威胁。。

      最后,,,,建议企业对全网进行一次安全检查和杀毒扫描,,加强防护工作。。推荐使用芯启时光安全感知+防火墙+EDR,,,,对内网进行感知、、查杀和防护。。。

      咨询与服务

      您可以通过以下方式联系我们,,,获取关于Globelmposter勒索病毒的免费咨询及支持服务:

      拨打电话400-630-6430转6号线(已开通勒索软件专线)

      关注【芯启时光技术服务】微信公众号,,,选择“智能服务”菜单,,,,进行咨询

      PC端访问芯启时光区 bbs.luyidan.com,,选择右侧智能客服,,,进行咨询。。
      站点地图