×

紧急预警:Globelmposter再次攻击医疗行业,爆“十二生肖”2.0新变种
  

SANGFOR_智安全 127938人觉得有帮助

{{ttag.title}}
紧急预警:Globelmposter再次攻击医疗行业,爆十二生肖”2.0新变种


近日,某公司安全团队观察到Globelmposter勒索病毒再次出现最新变种,加密文件后缀以十二生肖+865qq的方式出现,截至目前国内多个省市均发现感染案例,覆盖多行业,其中医疗行业影响最严重,个别省份同一天出现10家以上医院受感染。结合早期Globelmposter勒索病毒特征,某公司安全团队将其命名为“十二生肖”2.0版本。
病毒名称:Globelmposter“十二生肖”2.0版本
病毒性质:勒索病毒
影响范围:多省市多行业发现感染案例,医疗行业感染最严重
危害等级:高危
传播方式:通过社会工程、RDP暴力破解等方式入侵

病毒描述
      Globelmposter“十二生肖”2.0版本的勒索信息如下,有两个版本,以下是英文版勒索信息,有对应的中文版勒索信息。
▲“十二生肖”2.0版本勒索信息

Globelmposter“十二生肖”2.0版本加密后缀以十二生肖+865qq的方式出现,分别有:
Pig865qqRooster865qqTiger865qq
Dragon865qqSnake865qqRat865qq
Horse865qqDog865qqMonkey865qq
Rabbit865qqGoat855qq


      早在18年8月份,某公司已经跟踪到了Globelmposter“十二生肖”1.0版本,也就是Globelmposter3.0,其加密后缀以*4444为主要特征,典型后缀包括:
Dragon4444()Pig4444(猪)、
Tiger4444(虎)、Snake4444(蛇)、
Rooster4444(鸡)、Rat4444(鼠)、
Horse4444(马)、Dog4444(狗)、
Monkey4444(猴)Rabbit4444(兔)、
Goat4444(羊)等

Globelmposter“十二生肖”1.0版本,详见:紧急预警:Globelmposter再爆3.0变种,大型医院已中招

今年7月,Globelmpostser勒索病毒开始出现“十二主神”版本,加密后缀以“希腊十二主神+666” 、 “希腊十二主神 + 865”等。详见:

本次发现的Globelmposter“十二生肖”2.0版本,沿用了Globelmposter“十二生肖”1.0版本的命名,却继承了“十二主神”2.0的特点,没有采用“十二生肖”1.0版本的勒索信息,而是采用了“十二主神”的勒索信息。

      一直以来,国内一直饱受Globelmposter勒索病毒的侵害,涉及不同行业,覆盖行业有医疗、政府、能源、贸易等行业。其中对医疗行业危害最大,医疗卫生行业具有很大的业务紧迫性,一旦被勒索,将导致业务中断,造成的损失不可估量,这又会导致这个行业的受害者为了快速恢复业务,而选择给黑客支付赎金的方式。此外,境外黑客势力并不会顾及行业的特殊性和公益性,较之以往更加变本加厉,给医疗卫生行业带来了巨大的挑战。

      本次Globelmposter“十二生肖”2.0版本,主要瞄准目标为核心业务的服务器,通过医保窗口机为跳板,远程控制服务器并传播病毒,攻击HIS、LIS、PACS等系统,导致数据库被加密,门诊无法看病。如下,可以看到被加密的文件被追加了Tiger865qq的后缀名。

解决方案
      针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。某公司提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

AF产品解决方案
一、确认当前设备软件升级
要求防火墙软件版本为AF8.0.5及以上,同时开启SAVE杀毒功能模块,如下图:
二、确认当前规则库更新
要求防火墙软的规则库更新到最新,如下图:
三、开启安全功能
针对此次的“Globelmposter勒索病毒“十二生肖”新变种”防护,某公司AF建议针对【内网有上网权限主机】,开启“SAVE安全智能文件检测”功能。针对【需要对外提供RDP服务的主机】,开启“暴力破解”功能,配置如下:
1、【策略】-【安全策略】-【安全防护策略】界面,新增【用户防护策略】,如下:

2、【策略】-【安全策略】-【安全防护策略】界面,新增【业务防护策略】,如下:


四、安全云脑接入
最后,建议AF可以接入某公司安全云脑,提升后续未知威胁的防护能力及威胁情报数据的实时获取,配置如下:
EDR产品解决方案
1、更新病毒库
更新病毒库到20190828190515及以上版本,即可对Globelmposter勒索病毒变种“十二主神”2.0进行查杀。
EDR管理平台能连接互联网情况:
通过以下界面检查EDR管理平台是否完成自动更新。
EDR管理平台不能联网情况:
通过以下地址下载离线病毒库,导入EDR管理平台更新。
病毒库需要解压,解压密码为sangfor,得到pkg文件,通过以下界面导入EDR管理平台。
2、开启安全策略
(1)启用实时防护策略
针对内网终端和服务器所在分组启用实时防护策略,开启文件实时监控、勒索病毒防护、暴力破解检测,配置如下图:

(2)启用病毒查杀策略
针对内网windows终端启用病毒查杀策略,配置定时查杀,配置如下图:
对内网终端进行进行一次全盘查杀,检查内网是否已经感染病毒,如下图:


3、启用告警策略,当检测到内网有攻击事件时,立即邮件告警通知管理员
配置发送告警邮件服务器,如下图:
配置告警策略,如下图:

配置告警邮件发送频率和收件人地址,如下图:

当检测到告警事件时,管理员收到如下告警邮件。
咨询与服务
您可以通过以下方式联系我们,获取关于DEADMIN LOCKER的免费咨询及支持服务:
1)拨打电话400-630-64306号线(已开通勒索病毒专线)
2)关注【某公司技术服务】微信公众号,选择智能服务菜单,进行咨询
3PC端访问某公司区bbs.sangfor.com.cn,选择右侧智能客服,进行咨询

打赏鼓励作者,期待更多好文!

打赏
18人已打赏

Sangfor_闪电回_朱丽 发表于 2019-11-6 17:24
  
可怕~
小伙伴们一定要加强安全防护哦,不要让病毒有任何的可乘之机:奸笑:
小达1218 发表于 2019-11-7 17:40
  
希望某公司AF 某公司AC默认策略和库都尽快更新,如果可以默认策略支持防御勒索病毒就更好了
Brett 发表于 2019-11-9 10:07
  
已查看,多谢分享
fux 发表于 2019-11-11 11:07
  
多谢分享!
hzZ 发表于 2019-11-13 17:38
  
感谢分享
Rex_yang 发表于 2019-11-17 10:32
  
用某公司,妥妥的
新手850916 发表于 2019-11-18 11:18
  
中招就完蛋了..
sessionbox 发表于 2019-11-19 08:30
  
干货满满,感谢楼主的分享!
新手850916 发表于 2019-11-28 11:28
  
已查看,多谢分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人