新闻中心

      新闻中心  >  新型勒索病毒Hospit来袭,,,,国内多家医疗机构已受影响
      新型勒索病毒Hospit来袭,,国内多家医疗机构已受影响
      背景图 2020-12-17 00:00:00

      近日,,,芯启时光安全团队检测到一种全新的勒索病毒正在活跃,,,,攻击者主要针对医疗行业进行攻击,,,,截止目前国内已发现多起医疗机构感染案例。。该病毒会将数据库、、文档等重要文件进行加密,,,,目前无法解密,,严重危害业务安全,,,建议提高警惕,,及时防范。。该勒索病毒加密文件后缀为.guanhospit,,芯启时光安全团队将其命名为 Hospit家族。。。。

      病毒名称:Hospit 家族
      病毒性质:勒索病毒
      影响范围:目前国内多家医疗机构感染
      危害等级:高危
      传播方式:通过RDP暴力破解入侵

      勒索特征

      通过分析发现该勒索病毒无主动传播行为,,,主要是通过RDP暴力破解后人工上传黑客工具及勒索病毒,,,其中 hospit.exe 为勒索病毒文件,,,,其余为黑客工具,,,,用于结束安全软件及关闭防火墙等。。。

      该勒索病毒主要针对医疗行业进行攻击,,,一旦入侵成功,,,会将目标对象的数据库、、、、文档等重要文件加密,,,并进行勒索,,,加密后的文件目前无法解密。。

      勒索信息:

      医疗行业具有很大的业务紧迫性,,尤其在严防疫情的形势下,,,一旦被勒索,,,将导致业务中断,,,造成不可估量的损失。。。。因此,,部分医疗行业的受害者为了快速恢复业务,,只能选择给攻击者支付赎金。。。。

      样本分析

      攻击者使用了今年11月份最新的c#混淆工具SmartAssembly 7.5.1.4370对样本进行混淆处理,,,,并加入了反调试手段,,,,会关闭用于病毒分析的工具:

      将病毒文件复制到系统自启动目录:

      生成勒索信息,,,内容为当前主机IP、、、、加密公钥和被加密的时间:

      遍历磁盘对文件进行加密:

      加密后添加文件后缀guanhospit:

      解决方案

      企业系统脆弱性是企业被勒索病毒入侵的根本原因,,很多企业内网核心服务器存在漏洞、、、弱密码、、高危端口暴露等诸多安全风险,,,给了黑客可乘之机。。。。另外,,,勒索病毒可在短时间内威胁用户核心业务资产,,,,当勒索病毒事件发生时,,,必须进行争分夺秒的事件响应,,,,将勒索病毒的危害迅速降到最低。。。

      通常,,勒索病毒的攻击流程包含利用各种手段突破外网边界、、、进入内网后在内网进行病毒投放、、、、在关键系统上进行加密勒索,,,,并在重要服务器或内网之间实现横向传播。。。。

      基于此,,,芯启时光提出了勒索病毒防护解决方案,,,针对勒索病毒的攻击特征和方式,,通过拦截、、、、查杀、、、、监测、、、、处置四个阶段对勒索病毒进行精准、、快速的闭环处置,,帮助用户打造集防御、、、、检测、、、响应于一体的整体安全防御体系。。。

      芯启时光安全团队提醒大家:

      针对已经出现勒索感染的用户,,,由于暂时没有解密工具,,建议尽快对感染主机进行断网隔离,,,同时做好病毒检测与防御措施,,防范该病毒的勒索攻击。。

      病毒检测查杀

      芯启时光EDR产品、、、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,,,,部署相关产品用户可进行病毒检测,,如图所示:

      芯启时光为广大用户免费提供查杀工具,,可下载如下工具,,,进行检测查杀。。。。

      64位系统下载链接:
      https://edr.luyidan.com/tool/SfabAntiBot_X64.7z

      32位系统下载链接:
      https://edr.luyidan.com/tool/SfabAntiBot_X86.7z

      病毒防御

      及时给电脑打补丁,,,,修复漏洞。。。。

      对重要的数据文件定期进行非本地备份。。。

      不要点击来源不明的邮件附件,,,不从不明网站下载软件。。

      尽量关闭不必要的文件共享权限。。

      更改账户密码,,,设置强密码,,,,避免使用统一的密码,,,,因为统一的密码会导致一台被攻破,,,,多台遭殃。。

      如果业务上无需使用RDP的,,建议关闭RDP。。。。当出现此类事件时,,,,推荐使用芯启时光下一代防火墙,,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,,防止扩散!!

      芯启时光下一代防火墙、、、、终端检测响应平台(EDR)均有防爆破功能,,,下一代防火墙开启此功能并启用11080051、、、11080027、、、11080016规则,,,,EDR开启防爆破功能可进行防御。。

      芯启时光下一代防火墙用户,,,,建议升级到AF805版本,,,,并开启SAVE安全智能检测引擎,,,以达到最好的防御效果。。。

      使用芯启时光安全产品,,接入安全云脑,,,,使用云查服务可以即时检测防御新威胁。。。。

      咨询与服务

      您可以通过以下方式联系我们,,,,获取免费咨询及支持服务:

      拨打电话400-630-6430转6号线(已开通勒索病毒专线);

      关注【芯启时光技术服务】微信公众号,,,,选择“智能服务”菜单,,,,进行咨询;

      PC端访问芯启时光区 bbs.luyidan.com,,,选择右侧智能客服,,进行咨询。。。。

      站点地图