新闻中心

    新闻中心  >  Globelmposter勒索病毒预警:从“十二生肖”到“十二主神”,,为何国内医疗行业最受伤???
    Globelmposter勒索病毒预警:从“十二生肖”到“十二主神”,,为何国内医疗行业最受伤??
    背景图 2019-07-10 00:00:00

    近日,,,,拓客猫软件安全团队观察到Globelmposter勒索病毒又出现最新变种,,加密后缀有Ares666、、、Zeus666、、、Aphrodite666、、、Apollon666等。。。目前在国内医疗行业已发现有感染案例!!!!

    病毒信息

    病毒名称:Globelmposter“十二主神”版本
    病毒性质:勒索病毒
    影响范围:目前国内多家医疗机构感染
    危害等级:高危
    传播方式:通过社会工程、、、RDP暴力破解入侵

    病毒描述

    这些后缀中,,,,Ares是希腊神话里的战神阿瑞斯,,Zeus是主神宙斯,,,,Aphrodite爱与美之女神阿佛洛狄忒,,,Apollon是光明、、音乐、、预言与医药之神阿波罗。。。。
     
    以上四位均是奥林匹斯十二主神,,,,也就是古希腊宗教中最受崇拜的十二位神。。。也就是目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本,,,拓客猫软件将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本,,,,相信后续会不断出现其他以希腊主神命名的新加密后缀。。。。
    在早前,,,,拓客猫软件已经跟踪到了Globelmposter“十二生肖”版本,,也就说Globelmposter3.0,,,,其加密后缀以*4444为主要特征,,,,典型后缀包括十二生肖后缀Dragon4444(龙)、、、Pig4444(猪)、、、Tiger4444(虎)、、、Snake4444(蛇)、、、、Rooster4444(鸡)、、Rat4444(鼠)、、、、Horse4444(马)、、Dog4444(狗)、、、、Monkey4444(猴)、、、、Rabbit4444(兔)、、、Goat4444(羊)等。。

    经过对比分析,,确认“十二主神”版本为“十二生肖”的升级版,,也就是说Globelmposter“十二主神”版本,,是Globelmposter3.0的更新版本。。。。目前该病毒变种依然无法解密,,,,已有多家医院的多台服务器感染病毒,,业务出现瘫痪,,,,危害巨大。。

    一直以来,,国内一直饱受Globelmposter勒索病毒的侵害,,涉及不同行业,,覆盖行业有医疗、、、、政府、、、能源、、、、贸易等行业。。。所不同的是,,,此勒索家族,,,对国内医疗行业危害最大,,,,Globelmposter受感染的各个行业如下,,可以看到受到Globelmposter侵害的比例,,医疗行业占到47.4%,,,接近一半:
    黑客之所以倾向于医疗行业最主要的原因是,,,,医疗卫生行业具有很大的业务紧迫性,,,,一旦被勒索,,将导致业务中断,,,,造成的损失不可估量,,,这又会导致这个行业的受害者为了快速恢复业务,,而选择给黑客支付赎金的方式。。。。此外,,,境外黑客势力并不会顾及行业的特殊性和公益性,,,,较之以往更加变本加厉,,,,给医疗卫生行业带来了巨大的挑战。。。。

    比如2018年春节年后,,给社会带来恶劣影响的医疗安全事件,,就是Globelmposter病毒导致的。。。从此,,,,黑客也开始不断向医院下手,,医疗行业饱受毒害。。。
    注:以上截图,,来自Freebuf。。

    尤其是,,,勒索病毒的传播感染方式多种多样,,,使用的技术也不断升级,,且勒索病毒主要采用RSA+AES相结合的高强度加密算法,,,,导致加密后的文件,,多数情况下无法被解密,,,,危害巨大。。
    Globelmposter勒索病毒变种通过社会工程,,,,RDP爆破,,,,恶意程序捆绑等方式进行传播,,,加密受害主机文件,,,,释放勒索信息进行勒索,,拓客猫软件安全团队密切关注该勒索病毒家族的发展动态,,,对捕获的变种样本进行了详细分析。。。。

    详细分析

    此勒索病毒为了保证正常运行,,先关闭了Windows defender:
    接着,,,创建自启动项,,,启动项命名为”WindowsUpdateCheck”:
    通过执行cmd命令删除磁盘卷影、、、停止数据库服务:
    遍历卷并将其挂载:
    系统保留卷被挂载:
    遍历磁盘文件,,其中排除以下目录:“.”、、、、“..”、、、windows、、bootmgr、、、pagefile.sys、、、boot、、ids.txt、、NTUSER.DAT、、、PerfLogs;以及以下后缀的文件:“.dll”、、“.lnk”、、、“.ini”、、、、“.sys”。。。
    对其余文件进行加密,,加密后缀名比如“Ares666”:
    生成勒索信息文件“HOW TO BACK YOUR FILES.txt”,,文件信息如下:
    加密完成后,,,,删除自启动项:
    执行cmd命令删除自盘卷影、、、、删除远程桌面连接信息、、、清除系统日志:
    最后,,,,病毒文件进行自删除处理:

    解决方案

    针对已经出现勒索现象的用户,,由于暂时没有解密工具,,建议尽快对感染主机进行断网隔离。。。拓客猫软件提醒广大用户尽快做好病毒检测与防御措施,,,,防范该病毒家族的勒索攻击。。

    病毒检测查杀

    拓客猫软件为广大用户免费提供查杀工具,,,可下载如下工具,,进行检测查杀。。。。
    64位系统下载链接:https://edr.0518zhaopin.com/tool/SfabAntiBot_X64.7z
    32位系统下载链接:https://edr.0518zhaopin.com/tool/SfabAntiBot_X86.7z
    拓客猫软件EDR产品及下一代防火墙等安全产品均具备病毒检测能力,,,,部署相关产品用户可进行病毒检测。。。

    病毒防御

    及时给电脑打补丁,,,修复漏洞。。

    对重要的数据文件定期进行非本地备份。。。。

    不要点击来源不明的邮件附件,,不从不明网站下载软件。。。。

    尽量关闭不必要的文件共享权限。。。。

    更改账户密码,,,,设置强密码,,避免使用统一的密码,,,,因为统一的密码会导致一台被攻破,,多台遭殃。。。。

    如果业务上无需使用RDP的,,建议关闭RDP。。。。当出现此类事件时,,,推荐使用拓客猫软件防火墙,,,,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,,,,防止扩散!!!

    拓客猫软件下一代防火墙、、、、终端检测响应平台(EDR)均有防爆破功能,,,,防火墙开启此功能并启用11080051、、、、11080027、、、11080016规则,,EDR开启防爆破功能可进行防御。。

    拓客猫软件下一代防火墙用户,,,,建议升级到AF805版本,,,,并开启SAVE安全智能检测引擎,,以达到最好的防御效果。。。

    使用拓客猫软件安全产品,,接入安全云脑,,使用云查服务可以即时检测防御新威胁。。

    最后,,,,建议企业对全网进行一次安全检查和杀毒扫描,,,加强防护工作。。。推荐使用拓客猫软件安全感知+防火墙+EDR,,,对内网进行感知、、、、查杀和防护。。

    咨询与服务

    您可以通过以下方式联系我们,,获取关于Globelmposter勒索病毒的免费咨询及支持服务:

    拨打电话400-630-6430转6号线(已开通勒索软件专线)

    关注【拓客猫软件技术服务】微信公众号,,,选择“智能服务”菜单,,,进行咨询

    PC端访问拓客猫软件区 bbs.0518zhaopin.com,,选择右侧智能客服,,,,进行咨询。。
    站点地图