×

GlobeImposter勒索病毒“十二主神”全新升级,国内已有多个感染案例
  

SANGFOR_智安全 89385人觉得有帮助

{{ttag.title}}



      近日,某公司安全团队全球独家追踪到GlobeImposter勒索病毒“十二主神”出现全新升级,出现了Hermes865、Hades865、Apollon865等加密后缀的变种,某公司将其命名为GlobeImposter勒索病毒“十二主神”2.0版本。

      2.0版本针对中国大陆用户更新了具有中文说明的勒索信息界面,截止目前,国内已有多家企业遭到攻击,损失严重。某公司紧急提醒广大用户,防范此病毒攻击!

病毒名称:GlobeImposter勒索病毒“十二主神”2.0版本
病毒性质:勒索病毒
影响范围:目前国内已有多行业用户受感染
危害等级:高危
传播方式:通过社会工程、RDP暴力破解入侵

病毒概述
      今年7月某公司率先披露了GlobeImposter勒索病毒“十二主神”变种,其加密后修改文件后缀为“希腊十二主神 + 666”,其后在两个月的时间内,1.0版本的“十二主神”逐步释放完毕,给全国多个省份企业用户及政府医疗教育单位造成了不小的冲击,变种包括Zeus666、Poseidon666、Apollo666、Artemis666、Ares666、Aphrodite666、Dionysus666、Persephone666、Hephaestus666、Hades666、Demeter666、Hera666。

      在1.0版本的“十二主神”仍然规模传播的情况下,GlobeImposter勒索病毒运营团伙研发出了“十二主神”2.0版本,不仅将加密后缀调整为“希腊十二主神 + 865”的形式(类似Hermes865、Hades865、Apollon865),更是针对中国大陆用户更新了具有中文说明的勒索信息界面,并且从原来的TXT文件升级成为EXE程序,添加到注册表自启动:
      尽管做了一些改动,但2.0版本仍然沿用了与1.0版本相同的邮箱Sin_Eater.666@aol.com,再加上样本与1.0高度相似,由此判断2.0版本与1.0版本为同一个团伙所为:
1.0版本与2.0版本对比(左边1.0版本,右边2.0版本)

      此外 ,该勒索目前似乎也处于调试阶段,病毒加密后会在同目录下释放一个ids.txt,用于存放ID和打印错误信息:

样本分析
      对捕获到的样本进行了详细技术分析,发现其与Globlemposter“十二主神”1.0版本在代码结构上高度相似。

      该病毒运行后首先会创建勒索信息文件“HOW TOBACK YOUR FILES.exe”到各个目录。然后,关闭家庭组,关闭Windows defender。

      接着病毒会创建自启动项,并且命名为“WindowsUpdateCheck”,通过执行cmd命令删除磁盘卷影、停止数据库服务,遍历卷并将其挂载,遍历磁盘文件:
在病毒加密文件后,复制勒索信息文件到被加密的目录:
最后,病毒执行cmd命令删除远程桌面连接信息、清除系统日志,进行自删除处理。

解决方案
      针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。某公司提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

SIP
一、在线更新IOC情报库
平台能上网环境中,可自动更新IOC情况库到2019-08-30。更新后如下日期。
二、离线更新IOC情况库
如平台无法连接互联网,可通过如下连接地址手动下载升级包,然后更新IOC库即可:

点击手动导入,上传IOC情况库
更新后如下日期。

AF
一、确认当前设备软件升级
要求防火墙软件版本为AF8.0.5及以上,同时开启SAVE杀毒功能模块,如下图:

二、确认当前规则库更新
要求防火墙软的规则库更新到最新,如下图:

三、开启安全功能
      针对此次的“Globelmposter勒索病毒“十二主神”2.0变种”防护,某公司AF建议针对【内网有上网权限主机】,开启“SAVE安全智能文件检测”功能。针对【需要对外提供RDP服务的主机】,开启“暴力破解”功能,配置如下:
1、【策略】-【安全策略】-【安全防护策略】界面,新增【用户防护策略】,如下:

2、【策略】-【安全策略】-【安全防护策略】界面,新增【业务防护策略】,如下:


四、安全云脑接入
最后,建议AF可以接入某公司安全云脑,提升后续未知威胁的防护能力及威胁情报数据的实时获取,配置如下:

EDR
      针对Globelmposter勒索病毒变种“十二主神”2.0处理,EDR需要开启病毒查杀、勒索病毒防护、防暴力破解。
一、更新病毒库
更新病毒库到20190828190515及以上版本,即可对Globelmposter勒索病毒变种“十二主神”2.0进行查杀。
1、EDR管理平台能连接互联网情况:
通过以下界面检查EDR管理平台是否完成自动更新。
2、EDR管理平台不能联网情况:
通过以下地址下载离线病毒库,导入EDR管理平台更新。
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000037221875/all
病毒库需要解压,解压密码为sangfor,得到pkg文件,通过以下界面导入EDR管理平台。

二、开启安全策略
1、启用实时防护策略
针对内网终端和服务器所在分组启用实时防护策略,开启文件实时监控、勒索病毒防护、暴力破解检测,配置如下图:
2、启用病毒查杀策略
针对内网windows终端启用病毒查杀策略,配置定时查杀,配置如下图:
对内网终端进行进行一次全盘查杀,检查内网是否已经感染病毒,如下图:
3、启用告警策略,当检测到内网有攻击事件时,立即邮件告警通知管理员
3.1配置发送告警邮件服务器,如下图:
3.2配置告警策略,如下图:
3.3配置告警邮件发送频率和收件人地址,如下图:

当检测到告警事件时,管理员收到如下告警邮件。

咨询与服务
您可以通过以下方式联系我们,获取关于
GlobeImposter勒索病毒的免费咨询及支持服务:
1)拨打电话400-630-64306号线
2)关注【某公司技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)PC端访问某公司区bbs.sangfor.com.cn,选择右侧智能客服,进行咨询

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

厌児 发表于 2019-9-3 13:09
  
感谢大佬的分享
zhongxiongjun 发表于 2019-9-4 10:10
  
遇到一个Hades666的
rico 发表于 2019-9-4 11:38
  
学习了学习了,感谢分享学习。
灵峰气韵 发表于 2019-9-5 13:38
  
勒索病毒好猖狂啊
新手513928 发表于 2019-9-6 08:30
  
已经中了。阿尔忒弥斯865
收获的季节 发表于 2019-9-8 17:02
  
安全涨知识,分析好心情
四川_石头 发表于 2019-9-8 22:14
  
涨知识了,学学
新手638979 发表于 2019-9-9 09:30
  
感谢分享
有bear来 发表于 2021-9-23 15:56
  

小伙伴们一定要加强安全防护哦,不要让病毒有任何的可乘之机
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人