• 新闻中心

      新闻中心  >  Globelmposter勒索病毒预警:从“十二生肖”到“十二主神”,,为何国内医疗行业最受伤????
      Globelmposter勒索病毒预警:从“十二生肖”到“十二主神”,,,为何国内医疗行业最受伤???
      背景图 2019-07-10 00:00:00

      近日,,,,博耀安全团队观察到Globelmposter勒索病毒又出现最新变种,,加密后缀有Ares666、、、、Zeus666、、Aphrodite666、、、、Apollon666等。。。。目前在国内医疗行业已发现有感染案例!!!

      病毒信息

      病毒名称:Globelmposter“十二主神”版本
      病毒性质:勒索病毒
      影响范围:目前国内多家医疗机构感染
      危害等级:高危
      传播方式:通过社会工程、、RDP暴力破解入侵

      病毒描述

      这些后缀中,,,,Ares是希腊神话里的战神阿瑞斯,,Zeus是主神宙斯,,,,Aphrodite爱与美之女神阿佛洛狄忒,,,Apollon是光明、、、音乐、、、、预言与医药之神阿波罗。。。
       
      以上四位均是奥林匹斯十二主神,,,也就是古希腊宗教中最受崇拜的十二位神。。。也就是目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本,,,,博耀将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本,,相信后续会不断出现其他以希腊主神命名的新加密后缀。。
      在早前,,,博耀已经跟踪到了Globelmposter“十二生肖”版本,,,,也就说Globelmposter3.0,,,,其加密后缀以*4444为主要特征,,典型后缀包括十二生肖后缀Dragon4444(龙)、、、、Pig4444(猪)、、、、Tiger4444(虎)、、、、Snake4444(蛇)、、、、Rooster4444(鸡)、、、Rat4444(鼠)、、、Horse4444(马)、、、Dog4444(狗)、、、Monkey4444(猴)、、、Rabbit4444(兔)、、、Goat4444(羊)等。。。

      经过对比分析,,,确认“十二主神”版本为“十二生肖”的升级版,,也就是说Globelmposter“十二主神”版本,,是Globelmposter3.0的更新版本。。。。目前该病毒变种依然无法解密,,已有多家医院的多台服务器感染病毒,,,业务出现瘫痪,,,危害巨大。。。

      一直以来,,,,国内一直饱受Globelmposter勒索病毒的侵害,,,涉及不同行业,,覆盖行业有医疗、、、政府、、、、能源、、贸易等行业。。。所不同的是,,,,此勒索家族,,,对国内医疗行业危害最大,,,Globelmposter受感染的各个行业如下,,,,可以看到受到Globelmposter侵害的比例,,,医疗行业占到47.4%,,接近一半:
      黑客之所以倾向于医疗行业最主要的原因是,,,医疗卫生行业具有很大的业务紧迫性,,,一旦被勒索,,将导致业务中断,,造成的损失不可估量,,这又会导致这个行业的受害者为了快速恢复业务,,,,而选择给黑客支付赎金的方式。。。。此外,,,,境外黑客势力并不会顾及行业的特殊性和公益性,,较之以往更加变本加厉,,,给医疗卫生行业带来了巨大的挑战。。

      比如2018年春节年后,,,给社会带来恶劣影响的医疗安全事件,,,就是Globelmposter病毒导致的。。从此,,,,黑客也开始不断向医院下手,,,,医疗行业饱受毒害。。。
      注:以上截图,,,来自Freebuf。。。。

      尤其是,,,,勒索病毒的传播感染方式多种多样,,,使用的技术也不断升级,,且勒索病毒主要采用RSA+AES相结合的高强度加密算法,,,导致加密后的文件,,,多数情况下无法被解密,,,,危害巨大。。。
      Globelmposter勒索病毒变种通过社会工程,,RDP爆破,,恶意程序捆绑等方式进行传播,,加密受害主机文件,,,,释放勒索信息进行勒索,,博耀安全团队密切关注该勒索病毒家族的发展动态,,,,对捕获的变种样本进行了详细分析。。。

      详细分析

      此勒索病毒为了保证正常运行,,,先关闭了Windows defender:
      接着,,,,创建自启动项,,,启动项命名为”WindowsUpdateCheck”:
      通过执行cmd命令删除磁盘卷影、、停止数据库服务:
      遍历卷并将其挂载:
      系统保留卷被挂载:
      遍历磁盘文件,,,,其中排除以下目录:“.”、、“..”、、windows、、bootmgr、、、pagefile.sys、、、、boot、、、、ids.txt、、、NTUSER.DAT、、、PerfLogs;以及以下后缀的文件:“.dll”、、、“.lnk”、、、、“.ini”、、、、“.sys”。。。
      对其余文件进行加密,,,,加密后缀名比如“Ares666”:
      生成勒索信息文件“HOW TO BACK YOUR FILES.txt”,,,文件信息如下:
      加密完成后,,,删除自启动项:
      执行cmd命令删除自盘卷影、、、删除远程桌面连接信息、、清除系统日志:
      最后,,病毒文件进行自删除处理:

      解决方案

      针对已经出现勒索现象的用户,,,,由于暂时没有解密工具,,建议尽快对感染主机进行断网隔离。。博耀提醒广大用户尽快做好病毒检测与防御措施,,防范该病毒家族的勒索攻击。。

      病毒检测查杀

      博耀为广大用户免费提供查杀工具,,,可下载如下工具,,,,进行检测查杀。。。
      64位系统下载链接:https://edr.lc747.com/tool/SfabAntiBot_X64.7z
      32位系统下载链接:https://edr.lc747.com/tool/SfabAntiBot_X86.7z
      博耀EDR产品及下一代防火墙等安全产品均具备病毒检测能力,,部署相关产品用户可进行病毒检测。。。。

      病毒防御

      及时给电脑打补丁,,,,修复漏洞。。

      对重要的数据文件定期进行非本地备份。。。

      不要点击来源不明的邮件附件,,,,不从不明网站下载软件。。。

      尽量关闭不必要的文件共享权限。。。。

      更改账户密码,,设置强密码,,避免使用统一的密码,,,因为统一的密码会导致一台被攻破,,,,多台遭殃。。。。

      如果业务上无需使用RDP的,,建议关闭RDP。。。。当出现此类事件时,,,,推荐使用博耀防火墙,,,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,,,防止扩散!!

      博耀下一代防火墙、、、、终端检测响应平台(EDR)均有防爆破功能,,防火墙开启此功能并启用11080051、、11080027、、11080016规则,,,,EDR开启防爆破功能可进行防御。。。

      博耀下一代防火墙用户,,建议升级到AF805版本,,并开启SAVE安全智能检测引擎,,,以达到最好的防御效果。。。。

      使用博耀安全产品,,,,接入安全云脑,,使用云查服务可以即时检测防御新威胁。。。。

      最后,,,,建议企业对全网进行一次安全检查和杀毒扫描,,,,加强防护工作。。推荐使用博耀安全感知+防火墙+EDR,,,对内网进行感知、、、、查杀和防护。。。。

      咨询与服务

      您可以通过以下方式联系我们,,获取关于Globelmposter勒索病毒的免费咨询及支持服务:

      拨打电话400-630-6430转6号线(已开通勒索软件专线)

      关注【博耀技术服务】微信公众号,,选择“智能服务”菜单,,,,进行咨询

      PC端访问博耀区 bbs.lc747.com,,,选择右侧智能客服,,,,进行咨询。。。。
      站点地图