【病毒预警】Globelmposter勒索病毒出现最新变种,国内医疗行业已发现有感染
  

SANGFOR_智安全 发表于 2019-7-9 09:35

​从“十二生肖”到“十二主神”,为何国内医疗行业最受伤?

1.png

      近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等。目前在国内医疗行业已发现有感染案例!
2.png 3.png 4.png

病毒名称:Globelmposter“十二主神”版本
病毒性质:勒索病毒
影响范围:目前国内多家医疗机构感染
危害等级:高危
传播方式:通过社会工程、RDP暴力破解入侵

病毒描述
      这些后缀中,Ares是希腊神话里的战神阿瑞斯,Zeus是主神宙斯,Aphrodite爱与美之女神阿佛洛狄忒,Apollon是光明、音乐、预言与医药之神阿波罗。以上四位均是奥林匹斯十二主神,也就是古希腊宗教中最受崇拜的十二位神。也就是目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本,深信服将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本,相信后续会不断出现其他以希腊主神命名的新加密后缀。
5.png

      在早前,深信服已经跟踪到了Globelmposter“十二生肖”版本,也就说Globelmposter3.0,其加密后缀以*4444为主要特征,典型后缀包括十二生肖后缀Dragon4444(龙)、Pig4444(猪)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(鸡)、Rat4444(鼠)、Horse4444(马)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。

      经过对比分析,确认“十二主神”版本为“十二生肖”的升级版,也就是说Globelmposter“十二主神”版本,是Globelmposter3.0的更新版本。目前该病毒变种依然无法解密,已有多家医院的多台服务器感染病毒,业务出现瘫痪,危害巨大。

      一直以来,国内一直饱受Globelmposter勒索病毒的侵害,涉及不同行业,覆盖行业有医疗、政府、能源、贸易等行业。所不同的是,此勒索家族,对国内医疗行业危害最大,Globelmposter受感染的各个行业如下,可以看到受到Globelmposter侵害的比例,医疗行业占到47.4%,接近一半:
6.png
      黑客之所以倾向于医疗行业最主要的原因是,医疗卫生行业具有很大的业务紧迫性,一旦被勒索,将导致业务中断,造成的损失不可估量,这又会导致这个行业的受害者为了快速恢复业务,而选择给黑客支付赎金的方式。此外,境外黑客势力并不会顾及行业的特殊性和公益性,较之以往更加变本加厉,给医疗卫生行业带来了巨大的挑战。

      比如2018年春节年后,给社会带来恶劣影响的医疗安全事件,就是Globelmposter病毒导致的。从此,黑客也开始不断向医院下手,医疗行业饱受毒害。
7.png
注:以上截图,来自Freebuf。

      尤其是,勒索病毒的传播感染方式多种多样,使用的技术也不断升级,且勒索病毒主要采用RSA+AES相结合的高强度加密算法,导致加密后的文件,多数情况下无法被解密,危害巨大。
Globelmposter勒索病毒变种通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索,深信服安全团队密切关注该勒索病毒家族的发展动态,对捕获的变种样本进行了详细分析。
8.png

详细分析
此勒索病毒为了保证正常运行,先关闭了Windowsdefender:
9.png
接着,创建自启动项,启动项命名为”WindowsUpdateCheck”:
10.png
通过执行cmd命令删除磁盘卷影、停止数据库服务:
11.png
遍历卷并将其挂载:
12.png
系统保留卷被挂载:
13.png

遍历磁盘文件,其中排除以下目录:“.”、“..”、windows、bootmgr、pagefile.sys、boot、ids.txt、NTUSER.DAT、PerfLogs;
以及以下后缀的文件:“.dll”、“.lnk”、“.ini”、“.sys”。
14.png
对其余文件进行加密,加密后缀名比如“Ares666”:
15.png
生成勒索信息文件“HOW TOBACK YOUR FILES.txt”,文件信息如下:
16.png
加密完成后,删除自启动项:
17.png
执行cmd命令删除自盘卷影、删除远程桌面连接信息、清除系统日志:
18.png
最后,病毒文件进行自删除处理:
19.png

解决方案
      针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

一、AF
1、确认当前设备版本和规则库版本
规则库版本,确认“IPS漏洞特征识别库”版本,保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
20.png
设备版本,建议升级至AF8.0.5及以上版本,同时开启杀毒功能,以获取更好的防护效果及更快速的更新能力。

2、开启安全功能
针对此次的“Globelmposter勒索病毒最新变种(十二主神)”的防护,SANGFORAF建议针对【内网主机】,可以开启“病毒防护功能”功能。针对【对外发布服务器】,可以开启“漏洞攻击防护”功能。同时防火墙设备启用“云脑”功能,使用云查服务可以即时检测防御新威胁。配置如下:
①新增开启病毒防护功能的内容安全模板,如下图:
21.png
②新增针对“内网主机”的防护策略,【策略】——【安全防护策略】——“新增”——“用户防护策略”,开启“内容安全”功能,动作选择“拒绝”。配置如下:
22.png

23.png

24.png
③新增针对“对外发布的服务器”防护策略,【策略】——【安全防护策略】——“新增”——“业务防护策略”,开启“漏洞攻击防护”功能,动作选择“拒绝”。配置如下:
25.png

26.png

27.png
④防火墙设备启用“云脑”功能,使用云查服务可以即时检测防御新威胁。配置如下:
开启序列号功能:
28.png
⑤确保设备联网正常,云脑接入正常:
29.png

二、EDR
针对Globelmposter勒索病毒变种“十二主神”处理,EDR需要开启病毒查杀、勒索病毒防护、防暴力破解。
1、更新病毒库
更新病毒库到20190628110023及以上版本,即可对Globelmposter勒索病毒变种“十二主神”进行查杀。
EDR管理平台能连接互联网情况:
通过以下界面检查EDR管理平台是否完成自动更新。
30.png
EDR管理平台不能联网情况:
通过以下地址下载离线病毒库,导入EDR管理平台更新。
31.png
病毒库需要解压,解压密码为sangfor,得到pkg文件,通过以下界面导入EDR管理平台。
32.png
2、开启安全策略
①启用实时防护策略
针对内网终端启用实时防护策略,开启文件实时监控、勒索病毒防护、暴力破解检测,配置如下图:
33.png

34.png
②启用病毒查杀策略
针对内网windows终端启用病毒查杀策略,配置定时查杀,配置如下图:
35.png
对内网终端进行进行一次全盘查杀,检查内网是否已经感染病毒,如下图:
36.png

37.png

三、无相关产品,通用解决方案如下:
1、在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。
2、开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。
3、每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。

其他预防方法:
1、安装杀毒软件,如深信服免费查杀工具链接如下:
64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2、邮件安全:邮件可以的附件、链接、文档等不要轻易点击和下载,在下载之后使用杀毒软件对其进行杀毒之后,点击查看或运行。

咨询与服务
您可以通过以下方式联系我们,获取关于
Globelmposter勒索病毒的免费咨询及支持服务:
1)拨打电话400-630-64306号线(已开通勒索软件专线)
2)关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)PC端访问深信服区bbs.sangfor.com.cn,选择右侧智能客服,进行咨询

小伙伴们,赶快动起手来,用SANGFOR提供的方法,做好防护......

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

×
有话想说?点这里!
可评论、可发帖

本版热帖

本版达人

SANGFOR...

本周分享达人