【病毒预警】Globelmposter勒索病毒出现最新变种，国内医疗行业已发现有感染

​从“十二生肖”到“十二主神”，为何国内医疗行业最受伤？

      近日，某公司安全团队观察到Globelmposter勒索病毒又出现最新变种，加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等。目前在国内医疗行业已发现有感染案例！

病毒名称：Globelmposter“十二主神”版本

病毒性质：勒索病毒

影响范围：目前国内多家医疗机构感染

危害等级：高危

传播方式：通过社会工程、RDP暴力破解入侵

病毒描述

      这些后缀中，Ares是希腊神话里的战神阿瑞斯，Zeus是主神宙斯，Aphrodite爱与美之女神阿佛洛狄忒，Apollon是光明、音乐、预言与医药之神阿波罗。以上四位均是奥林匹斯十二主神，也就是古希腊宗教中最受崇拜的十二位神。也就是目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本，某公司将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本，相信后续会不断出现其他以希腊主神命名的新加密后缀。

      在早前，某公司已经跟踪到了Globelmposter“十二生肖”版本，也就说Globelmposter3.0，其加密后缀以*4444为主要特征，典型后缀包括十二生肖后缀Dragon4444(龙)、Pig4444（猪）、Tiger4444（虎）、Snake4444（蛇）、Rooster4444（鸡）、Rat4444（鼠）、Horse4444（马）、Dog4444（狗）、Monkey4444（猴）、Rabbit4444（兔）、Goat4444(羊)等。

      经过对比分析，确认“十二主神”版本为“十二生肖”的升级版，也就是说Globelmposter“十二主神”版本，是Globelmposter3.0的更新版本。目前该病毒变种依然无法解密，已有多家医院的多台服务器感染病毒，业务出现瘫痪，危害巨大。

      一直以来，国内一直饱受Globelmposter勒索病毒的侵害，涉及不同行业，覆盖行业有医疗、政府、能源、贸易等行业。所不同的是，此勒索家族，对国内医疗行业危害最大，Globelmposter受感染的各个行业如下，可以看到受到Globelmposter侵害的比例，医疗行业占到47.4%，接近一半：

      黑客之所以倾向于医疗行业最主要的原因是，医疗卫生行业具有很大的业务紧迫性，一旦被勒索，将导致业务中断，造成的损失不可估量，这又会导致这个行业的受害者为了快速恢复业务，而选择给黑客支付赎金的方式。此外，境外黑客势力并不会顾及行业的特殊性和公益性，较之以往更加变本加厉，给医疗卫生行业带来了巨大的挑战。

      比如2018年春节年后，给社会带来恶劣影响的医疗安全事件，就是Globelmposter病毒导致的。从此，黑客也开始不断向医院下手，医疗行业饱受毒害。

注：以上截图，来自Freebuf。

      尤其是，勒索病毒的传播感染方式多种多样，使用的技术也不断升级，且勒索病毒主要采用RSA+AES相结合的高强度加密算法，导致加密后的文件，多数情况下无法被解密，危害巨大。

Globelmposter勒索病毒变种通过社会工程，RDP爆破，恶意程序捆绑等方式进行传播，加密受害主机文件，释放勒索信息进行勒索，某公司安全团队密切关注该勒索病毒家族的发展动态，对捕获的变种样本进行了详细分析。

详细分析

此勒索病毒为了保证正常运行，先关闭了Windowsdefender：

接着，创建自启动项，启动项命名为”WindowsUpdateCheck”：

通过执行cmd命令删除磁盘卷影、停止数据库服务：

遍历卷并将其挂载：

系统保留卷被挂载：

遍历磁盘文件，其中排除以下目录：“.”、“..”、windows、bootmgr、pagefile.sys、boot、ids.txt、NTUSER.DAT、PerfLogs；

以及以下后缀的文件：“.dll”、“.lnk”、“.ini”、“.sys”。

对其余文件进行加密，加密后缀名比如“Ares666”：

生成勒索信息文件“HOW TOBACK YOUR FILES.txt”，文件信息如下：

加密完成后，删除自启动项：

执行cmd命令删除自盘卷影、删除远程桌面连接信息、清除系统日志：

最后，病毒文件进行自删除处理：

解决方案

      针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。某公司提醒广大用户尽快做好病毒检测与防御措施，防范该病毒家族的勒索攻击。

一、AF

1、确认当前设备版本和规则库版本

规则库版本，确认“IPS漏洞特征识别库”版本，保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】，如下图：

设备版本，建议升级至AF8.0.5及以上版本，同时开启杀毒功能，以获取更好的防护效果及更快速的更新能力。

2、开启安全功能

针对此次的“Globelmposter勒索病毒最新变种(十二主神)”的防护，某公司AF建议针对【内网主机】，可以开启“病毒防护功能”功能。针对【对外发布服务器】，可以开启“漏洞攻击防护”功能。同时防火墙设备启用“云脑”功能，使用云查服务可以即时检测防御新威胁。配置如下：

①新增开启病毒防护功能的内容安全模板，如下图：

②新增针对“内网主机”的防护策略，【策略】——【安全防护策略】——“新增”——“用户防护策略”，开启“内容安全”功能，动作选择“拒绝”。配置如下：

③新增针对“对外发布的服务器”防护策略，【策略】——【安全防护策略】——“新增”——“业务防护策略”，开启“漏洞攻击防护”功能，动作选择“拒绝”。配置如下：

④防火墙设备启用“云脑”功能，使用云查服务可以即时检测防御新威胁。配置如下：

开启序列号功能：

⑤确保设备联网正常，云脑接入正常：

二、EDR

针对Globelmposter勒索病毒变种“十二主神”处理，EDR需要开启病毒查杀、勒索病毒防护、防暴力破解。

1、更新病毒库

更新病毒库到20190628110023及以上版本，即可对Globelmposter勒索病毒变种“十二主神”进行查杀。

EDR管理平台能连接互联网情况：

通过以下界面检查EDR管理平台是否完成自动更新。

EDR管理平台不能联网情况：

通过以下地址下载离线病毒库，导入EDR管理平台更新。

https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000037221875/all

病毒库需要解压，解压密码为sangfor，得到pkg文件，通过以下界面导入EDR管理平台。

2、开启安全策略

①启用实时防护策略

针对内网终端启用实时防护策略，开启文件实时监控、勒索病毒防护、暴力破解检测，配置如下图：

②启用病毒查杀策略

针对内网windows终端启用病毒查杀策略，配置定时查杀，配置如下图：

对内网终端进行进行一次全盘查杀，检查内网是否已经感染病毒，如下图：

三、无相关产品，通用解决方案如下：

1、在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。
2、开启Windows防火墙，尽量关闭3389、445、139、135等不用的高危端口。
3、每台服务器设置唯一口令，且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构，口令位数足够长（15位、两种组合以上）。

其他预防方法：
1、安装杀毒软件，如某公司免费查杀工具链接如下：

64位系统下载链接：http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接：http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2、邮件安全：邮件可以的附件、链接、文档等不要轻易点击和下载，在下载之后使用杀毒软件对其进行杀毒之后，点击查看或运行。

咨询与服务

您可以通过以下方式联系我们，获取关于

Globelmposter勒索病毒的免费咨询及支持服务：

1）拨打电话400-630-6430转6号线（已开通勒索软件专线）

2）关注【某公司技术服务】微信公众号，选择“智能服务”菜单，进行咨询

3）PC端访问某公司区bbs.sangfor.com.cn，选择右侧智能客服，进行咨询

小伙伴们，赶快动起手来，用某公司提供的方法，做好防护......

细思极恐，安全事件越来越多，做为安全服务厂商，任重而道远！

用了某公司AF，已设置好防护，高枕无忧

此勒索病毒为了保证正常运行，先关闭了Windowsdefender
吓得我马上把Windowsdefender打开了

楼主厉害了

我这边就杯具了，服务器都中了这个病毒。能恢复吗？

多谢分享。已经学习到了。

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。