【病毒预警】Globelmposter勒索病毒出现最新变种,国内医疗行业已发现有感染
  

SANGFOR_智安全 62001人觉得有帮助

{{ttag.title}}
​从“十二生肖”到“十二主神”,为何国内医疗行业最受伤?

1.png

      近日,某公司安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等。目前在国内医疗行业已发现有感染案例!
2.png 3.png 4.png

病毒名称:Globelmposter“十二主神”版本
病毒性质:勒索病毒
影响范围:目前国内多家医疗机构感染
危害等级:高危
传播方式:通过社会工程、RDP暴力破解入侵

病毒描述
      这些后缀中,Ares是希腊神话里的战神阿瑞斯,Zeus是主神宙斯,Aphrodite爱与美之女神阿佛洛狄忒,Apollon是光明、音乐、预言与医药之神阿波罗。以上四位均是奥林匹斯十二主神,也就是古希腊宗教中最受崇拜的十二位神。也就是目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本,某公司将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本,相信后续会不断出现其他以希腊主神命名的新加密后缀。
5.png

      在早前,某公司已经跟踪到了Globelmposter“十二生肖”版本,也就说Globelmposter3.0,其加密后缀以*4444为主要特征,典型后缀包括十二生肖后缀Dragon4444(龙)、Pig4444(猪)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(鸡)、Rat4444(鼠)、Horse4444(马)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。

      经过对比分析,确认“十二主神”版本为“十二生肖”的升级版,也就是说Globelmposter“十二主神”版本,是Globelmposter3.0的更新版本。目前该病毒变种依然无法解密,已有多家医院的多台服务器感染病毒,业务出现瘫痪,危害巨大。

      一直以来,国内一直饱受Globelmposter勒索病毒的侵害,涉及不同行业,覆盖行业有医疗、政府、能源、贸易等行业。所不同的是,此勒索家族,对国内医疗行业危害最大,Globelmposter受感染的各个行业如下,可以看到受到Globelmposter侵害的比例,医疗行业占到47.4%,接近一半:
6.png
      黑客之所以倾向于医疗行业最主要的原因是,医疗卫生行业具有很大的业务紧迫性,一旦被勒索,将导致业务中断,造成的损失不可估量,这又会导致这个行业的受害者为了快速恢复业务,而选择给黑客支付赎金的方式。此外,境外黑客势力并不会顾及行业的特殊性和公益性,较之以往更加变本加厉,给医疗卫生行业带来了巨大的挑战。

      比如2018年春节年后,给社会带来恶劣影响的医疗安全事件,就是Globelmposter病毒导致的。从此,黑客也开始不断向医院下手,医疗行业饱受毒害。
7.png
注:以上截图,来自Freebuf。

      尤其是,勒索病毒的传播感染方式多种多样,使用的技术也不断升级,且勒索病毒主要采用RSA+AES相结合的高强度加密算法,导致加密后的文件,多数情况下无法被解密,危害巨大。
Globelmposter勒索病毒变种通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索,某公司安全团队密切关注该勒索病毒家族的发展动态,对捕获的变种样本进行了详细分析。
8.png

详细分析
此勒索病毒为了保证正常运行,先关闭了Windowsdefender:
9.png
接着,创建自启动项,启动项命名为”WindowsUpdateCheck”:
10.png
通过执行cmd命令删除磁盘卷影、停止数据库服务:
11.png
遍历卷并将其挂载:
12.png
系统保留卷被挂载:
13.png

遍历磁盘文件,其中排除以下目录:“.”、“..”、windows、bootmgr、pagefile.sys、boot、ids.txt、NTUSER.DAT、PerfLogs;
以及以下后缀的文件:“.dll”、“.lnk”、“.ini”、“.sys”。
14.png
对其余文件进行加密,加密后缀名比如“Ares666”:
15.png
生成勒索信息文件“HOW TOBACK YOUR FILES.txt”,文件信息如下:
16.png
加密完成后,删除自启动项:
17.png
执行cmd命令删除自盘卷影、删除远程桌面连接信息、清除系统日志:
18.png
最后,病毒文件进行自删除处理:
19.png

解决方案
      针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。某公司提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

一、AF
1、确认当前设备版本和规则库版本
规则库版本,确认“IPS漏洞特征识别库”版本,保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
20.png
设备版本,建议升级至AF8.0.5及以上版本,同时开启杀毒功能,以获取更好的防护效果及更快速的更新能力。

2、开启安全功能
针对此次的“Globelmposter勒索病毒最新变种(十二主神)”的防护,某公司AF建议针对【内网主机】,可以开启“病毒防护功能”功能。针对【对外发布服务器】,可以开启“漏洞攻击防护”功能。同时防火墙设备启用“云脑”功能,使用云查服务可以即时检测防御新威胁。配置如下:
①新增开启病毒防护功能的内容安全模板,如下图:
21.png
②新增针对“内网主机”的防护策略,【策略】——【安全防护策略】——“新增”——“用户防护策略”,开启“内容安全”功能,动作选择“拒绝”。配置如下:
22.png

23.png

24.png
③新增针对“对外发布的服务器”防护策略,【策略】——【安全防护策略】——“新增”——“业务防护策略”,开启“漏洞攻击防护”功能,动作选择“拒绝”。配置如下:
25.png

26.png

27.png
④防火墙设备启用“云脑”功能,使用云查服务可以即时检测防御新威胁。配置如下:
开启序列号功能:
28.png
⑤确保设备联网正常,云脑接入正常:
29.png

二、EDR
针对Globelmposter勒索病毒变种“十二主神”处理,EDR需要开启病毒查杀、勒索病毒防护、防暴力破解。
1、更新病毒库
更新病毒库到20190628110023及以上版本,即可对Globelmposter勒索病毒变种“十二主神”进行查杀。
EDR管理平台能连接互联网情况:
通过以下界面检查EDR管理平台是否完成自动更新。
30.png
EDR管理平台不能联网情况:
通过以下地址下载离线病毒库,导入EDR管理平台更新。
31.png
病毒库需要解压,解压密码为sangfor,得到pkg文件,通过以下界面导入EDR管理平台。
32.png
2、开启安全策略
①启用实时防护策略
针对内网终端启用实时防护策略,开启文件实时监控、勒索病毒防护、暴力破解检测,配置如下图:
33.png

34.png
②启用病毒查杀策略
针对内网windows终端启用病毒查杀策略,配置定时查杀,配置如下图:
35.png
对内网终端进行进行一次全盘查杀,检查内网是否已经感染病毒,如下图:
36.png

37.png

三、无相关产品,通用解决方案如下:
1、在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。
2、开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。
3、每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。

其他预防方法:
1、安装杀毒软件,如某公司免费查杀工具链接如下:
64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2、邮件安全:邮件可以的附件、链接、文档等不要轻易点击和下载,在下载之后使用杀毒软件对其进行杀毒之后,点击查看或运行。

咨询与服务
您可以通过以下方式联系我们,获取关于
Globelmposter勒索病毒的免费咨询及支持服务:
1)拨打电话400-630-64306号线(已开通勒索软件专线)
2)关注【某公司技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)PC端访问某公司区bbs.sangfor.com.cn,选择右侧智能客服,进行咨询

小伙伴们,赶快动起手来,用某公司提供的方法,做好防护......

打赏鼓励作者,期待更多好文!

打赏
6人已打赏

Sangfor_闪电回_朱丽 发表于 2019-7-9 11:44
  
细思极恐,安全事件越来越多,做为安全服务厂商,任重而道远!
carl 发表于 2019-7-9 14:20
  
用了某公司AF,已设置好防护,高枕无忧
我是大笨蛋 发表于 2019-7-10 09:26
  
此勒索病毒为了保证正常运行,先关闭了Windowsdefender
吓得我马上把Windowsdefender打开了
四川_石头 发表于 2019-7-12 22:15
  
楼主厉害了
新手966564 发表于 2019-9-2 19:37
  
我这边就杯具了,服务器都中了这个病毒。能恢复吗?
有bear来 发表于 2021-9-24 10:12
  
多谢分享。已经学习到了。
肖振宙 发表于 2022-8-4 09:11
  
我在社区摸爬滚打这么多年,所谓阅人无数,就算没有见过猪走路,也总明白猪肉是啥味道的。一看到楼主的气势,我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别,你一定就是传说中的最强技术牛。
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
标准化排查
秒懂零信任
自助服务平台操作指引
新版本体验
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

SANGFOR...

本周分享达人