GlobeImposter勒索病毒家族又爆全新變種,深信服安全專家支招

2021-01-20 IT168


 

奧林匹斯十二主神是古希臘中最受崇拜的十二位神,今年7月深信服率先披露了GlobeImposter勒索病毒的「十二主神」變種。該變種通過社會工程、RDP暴力破解入侵組織網絡,給全國多個省份企業用戶及政府醫療教育單位造成了不小的衝擊,其加密後修改文件後綴為「希臘十二主神 + 666」,如下圖所示。

 

近日,深信服安全團隊全球獨家追蹤到GlobeImposter勒索病毒「十二主神」出現全新升級,出現了Hermes865、Hades865、Apollon865等加密後綴的變種,深信服將其命名為GlobeImposter勒索病毒「十二主神」2.0版本。

 

2.0版本針對中國大陸用戶更新了具有中文說明的勒索信息界面,截止目前,國內已有多家企業遭到攻擊,損失嚴重。深信服緊急提醒廣大用戶,防範此病毒攻擊!

 

GlobeImposter勒索病毒危害多行業,醫療行業佔到47.4%

 

一直以來,國內各行業飽受Globelmposter勒索病毒的侵害,涉及行業有醫療、政府、能源、貿易等,其中,對醫療行業危害最大。被Globelmposter感染的各個行業如下,醫療行業佔到47.4%,接近一半:

黑客之所以傾向於醫療行業最主要的原因是,醫療衛生行業具有很大的業務緊迫性,一旦被勒索,將導致業務中斷,造成的損失不可估量,這又會導致這個行業的受害者為了快速恢復業務,而選擇給黑客支付贖金的方式。此外,境外黑客勢力並不會顧及行業的特殊性和公益性,較之以往更加變本加厲,給醫療行業帶來了巨大的挑戰。

 

比如2018年春節年後,給社會帶來惡劣影響的醫療安全事件,就是Globelmposter病毒導致的。從此,黑客也開始不斷向醫院下手,醫療行業飽受毒害。

 

註:以上截圖,來自Freebuf

 

勒索病毒的傳播感染方式多種多樣,使用的技術也不斷升級,且勒索病毒主要採用RSA+AES相結合的高強度加密算法,導致加密後的文件,多數情況下無法被解密,危害巨大。

 

在深信服率先披露了GlobeImposter勒索病毒「十二主神」變種其後的兩個月時間內,1.0版本的「十二主神」逐步釋放完畢,給全國多個省份企業用戶及政府醫療教育單位造成了不小的衝擊。

 

在1.0版本的「十二主神」仍然規模傳播的情況下,GlobeImposter勒索病毒運營團夥研發出了「十二主神」2.0版本,不僅將加密後綴調整為「希臘十二主神 + 865」的形式(類似Hermes865、Hades865、Apollon865),更是針對中國大陸用戶更新了具有中文說明的勒索信息界面,並且從原來的TXT文件升級成為EXE程序,添加到註冊表自啟動:

 

 

儘管做了一些改動,但2.0版本仍然沿用了與1.0版本相同的郵箱Sin_Eater.666@aol.com,再加上樣本與1.0高度相似,由此判斷2.0版本與1.0版本為同一個團夥所為:

 

1.0版本與2.0版本對比(左邊1.0版本,右邊2.0版本)

 

此外 ,該勒索目前似乎也處於調試階段,病毒加密後會在同目錄下釋放一個ids.txt,用於存放ID和列印錯誤信息:

 

 

 

如何防範勒索病毒,深信服安全專家為您支招

 

針對已經出現勒索現象的用戶,由於暫時沒有解密工具,建議儘快對感染主機進行斷網隔離。深信服安全專家提醒廣大用戶儘快做好病毒檢測與防禦措施,防範該病毒家族的勒索攻擊。

 

病毒檢測查殺

1深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品用戶可進行病毒檢測,如圖所示:

2深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺:

64位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

 

病毒防禦

深信服安全團隊再次提醒廣大用戶,勒索病毒以防為主,目前大部分勒索病毒加密後的文件都無法解密,注意日常防範措施:

1及時給電腦打補丁,修復漏洞。

2對重要的數據文件定期進行非本地備份。

3不要點擊來源不明的郵件附件,不從不明網站下載軟體。

4儘量關閉不必要的文件共享權限。

5更改帳戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。

6如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服防火牆,或者終端檢測響應平臺(EDR)的微隔離功能對3389等埠進行封堵,防止擴散!

7深信服下一代防火牆、終端檢測響應平臺(EDR)均有防爆破功能,下一代防火牆開啟此功能並啟用11080051、11080027、11080016規則,EDR開啟防爆破功能可進行防禦。

8深信服下一代防火牆用戶,建議升級到AF805版本,並開啟SAVE安全智能檢測引擎,以達到最好的防禦效果。

9使用深信服安全產品,接入安全雲腦,使用雲查服務可以即時檢測防禦新威脅。

10深信服推出安全運營服務,通過以「人機共智」的服務模式幫助用戶快速擴展安全能力,針對此類威脅安全運營服務提供設備安全設備策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。

 


相關焦點

  • Globeimposter-Alpha865qqz.Beta865qqz.Delta865qqz勒索病毒處理
    Globeimposter-Alpha865qqz,Globeimposter-Beta865qqz,Globeimposter-Delta865qqz,等等Globeimposter-***865qqz類型病毒都屬於,十二主神又叫十二生肖勒索病毒家族加密軟體。
  • GlobeImposter勒索病毒新變種 Dragon444開始新的攻擊
    GlobeImposter勒索病毒新變種 Dragon444開始新的攻擊 2018-10-25    威脅等級:★★★★GlobeImposter勒索病毒使用了對稱加密和非對稱加密算法,病毒加密文件時為了提高加密速度,使用了對稱加密算法AES算法加密文件,同時使用本地生成的RSA公鑰將AES算法的密鑰加密,
  • 關於Globelmposter3.0勒索病毒變種攻擊的 緊急預警通報
    寧夏網絡安全信息通報中心技術支撐單位深信服安全團隊監測發現:近日,Globelmposter勒索病毒3.0變種再次席捲全國各地醫院,已在多個省份形成規模爆發趨勢。此次事件安全風險級別為「高危」。現將事件詳情通報如下:一、事件情況Globelmposter 3.0勒索變種的安全威脅熱度一直居高不下。2018年8月,全國多家醫院及企事業單位遭受攻擊。
  • 「淨網2019」關於防範GlobeImposter3.0 勒索病毒攻擊的預警
    近日,一種勒索病毒GlobeImposter再次變種後在網上傳播,目前該病毒已在多個省份出現感染情況。一旦感染該勒索病毒,網絡系統的資料庫文件將被病毒加密,並須支付勒索資金才能恢復文件。一、GlobeImposter勒索病毒的危害GlobeImposter是目前流行的一類勒索病毒,此次變種為3.0版本,它會加密磁碟文件並篡改後綴名*4444形式,同時在被加密的目錄下會生成一個名為「HOW_TO_BACK_FILES」的txt文件,顯示受害者的個人ID序列號以及黑客的聯繫方式等。
  • GlobeImposter.RESERVE勒索病毒 AES和RSA合體攻擊
    GlobeImposter.RESERVE勒索病毒 AES和RSA合體攻擊 2018-10-27    威脅等級:★★★★GlobeImposter勒索病毒使用了對稱加密算法和非對稱加密算法。
  • 勒索者GlobeImposter變種病毒 防毒牆應急解決方案
    一、概述隨著去年「永恆之藍」勒索者病毒的爆發,2018年勒索者病毒再次空襲國內,並出現了新的勒索者病毒變種GlobeImposter,在各個行業均已出現相關中毒事件,尤其在醫療行業更為突出,據金山安全病毒實驗室分析,由於醫療行業採用共享列印方式頻繁,給勒索者病毒提供了侵入醫療系統的便利條件,針對新型勒索者病毒的爆發,金山安全VGM新一代防毒牆可對此類病毒進行有效的病毒隔離和通訊阻斷
  • 「Globelmoster」勒索病毒變種來襲 國內企業已被感染
    「Globelmoster」勒索病毒變種來襲 國內企業已被感染 2017-07-21    2017年7月19日,國內網友在安全論壇上反饋,自己的伺服器中了勒索病毒,所有的文件均被加密,文件後綴名被修改為「skunk」。
  • 騰訊安全:域伺服器成入侵跳板,企業遭GlobeImposter勒索損失慘重
    如今「十二主神」不僅存在於神話中,還現身勒索病毒界,在加密文件後將後綴修改為「十二主神666」、「十二主神865」等。近期,騰訊安全應急響應中心接到某企業發來的求助,稱其區域網內8臺伺服器遭到了勒索病毒攻擊。收到求助後,騰訊安全專家快速進行了深入溯源分析,確認該企業經歷的是一起GlobeImposter勒索病毒利用域伺服器作為跳板的定向攻擊事件。
  • Win7停服風險徒增,深信服專家支招用戶有效應對
    微軟官網中寫到:「雖然用戶仍可以繼續使用運行 Windows 7 的電腦,但如果沒有持續軟體和安全更新,電腦遭受病毒和惡意軟體攻擊的風險會更大。」Win7停服究竟會帶來哪些安全風險?1、安全策略不再更新,Win7系統等同「裸奔「,易被攻擊滲透記者從深信服終端安全實驗室了解到,Win7平臺的惡意軟體攻擊是Win10平臺的3.4倍。
  • 勒索病毒捲土重來!
    開啟360安全衛士就可攔截查殺該類勒索病毒,且360也已完美破解該病毒,中招者只需輸入「ssssss」即可進入系統,大家友情轉發,愛心接力,解救國外網民。據360安全中心分析,sb勒索病毒主要利用製造網頁亂碼、偽裝flash升級包傳播,它是此前流行的國產勒索病毒xiaoba的最新變種。360「解密大師」通過樣本分析,已緊急集成針對該病毒的解密工具,中招者可一鍵掃描並解密中招文檔。勒索病毒用迷惑性極高的手段斂財攻擊,請網民看到360安全衛士的攔截提示,不要冒險運行!
  • 「WannaRen」勒索病毒攻擊源曝光,360安全大腦獨家揭秘幕後「匿影」
    在檢測異常的第一時間,360安全大腦率先出擊,首家發現「WannaRen」勒索病毒來源並且關聯到幕後黑客團夥,並首家分析出真正的勒索攻擊代碼。經360安全大腦分析確認,「WannaRen」勒索病毒的作者正是此前借「永恆之藍」漏洞禍亂網絡的「匿影」組織。此次「匿影」組織一改借挖礦木馬牟利的方式,變換思路通過全網投遞「WannaRen」勒索病毒,索要贖金獲利。
  • 斯福賽特:勒索病毒是什麼?要怎麼預防?中了勒索病毒還有救嗎?
    平均每天有7家三甲醫院被檢出WannaCry勒索病毒(所幸多為加密功能失效的病毒版本)製造業正迎來「工業4.0」的重大歷史契機,面對需要將無處不在的傳感器、嵌入式系統、智能控制系統和產品數據、設備數據、研發數據、運營管理數據緊密互聯成一個智能網絡的新模式,一個全新的安全需求正在產生。
  • 勒索病毒WannaCry到底是什麼?
    這類病毒被稱為勒索病毒。WannaCry病毒及其變種,如Wana-Crypt和Wanna Decryptor的攻擊對象是使用微軟Windows作業系統的電腦。   How does it infect computers?   問:病毒如何感染電腦?   By e-mail.
  • B站百大UP主黨妹被黑客勒索!
    2.以RDP爆破為主通過騰訊安全御見威脅情報中心的數據統計,目前勒索攻擊主要以RDP爆破為主(包括企業內網滲透),典型家族有GlobeImposter和Crysis,也有其他家族的勒索病毒陸續加入埠爆破攻擊方式。
  • 2020年安全業界頭疼的勒索軟體
    說到信息安全,可能很多人會想到勒索軟體。勒索軟體是一種流行的木馬,通過騷擾、恐嚇甚至採用綁架用戶文件等方式向用戶勒索錢財。如今,隨著網絡技術的快速發展,安全問題也成為人們關注的焦點。接下來,本文將簡單的介紹下勒索軟體五大家族的攻擊目標與方法。
  • 「勒索病毒」綁架微信支付!你的零錢還安全嗎?
    所以,並不是你的微信中了病毒,可以說微信基本扯不上什麼關係,手機用戶也完全不用擔心被這種勒索病毒感染,微信裡的零錢目前依然十分安全。由於微信在這一次的病毒爆發事件中莫名「躺槍」,微信官方在12月5日立刻出來闢謠澄清,指出「微信支付勒索病毒」這種說法,存在歧義,容易使用戶產生誤解,並不是微信感染了病毒,微信用戶的帳戶安全也不會受到威脅,不必過於驚慌。
  • 勒索軟體:改寫網安格局,進入突變元年
    它通過Gameover Zeus殭屍網絡來傳播,被標記為首個通過被感染網站傳播的勒索病毒案。CryptoLocker也以電子郵件附件方式通過魚叉式網絡釣魚傳播。從2014年第三季度到2015年第一季度,勒索軟體的數量增長了三倍多。2015年,影響多個平臺的病毒變種對全球用戶造成了嚴重的破壞。
  • 【早報】勒索病毒或周一捲土重來(內附保護辦法)/ Nike 用鞋底做...
    【早報】勒索病毒或周一捲土重來(內附保護辦法)/ Nike 用鞋底做手機殼 / 蔚來 EP9 圈速破紀錄 國內新聞
  • B站500萬粉up主黨妹被黑客勒索:交錢贖「人」!安全專家:無解
    現在,黨妹也很遺憾,安全意識欠缺,給了黑客可乘之機,希望其他up主和粉絲們注意信息安全。毫無預警,攻擊技術難度為0經過黨妹團隊的一系列排查,大概率把目標鎖定到了一個叫Buran的勒索病毒。360安全專家:建議做個安全排查,不然這個勒索病毒可以種第一次,就有可能種第二次,連真正哪裡出現的問題都不知道,何談保護呢。
  • B站500萬粉up主黨妹被黑客勒索:交錢贖「人」!頂級安全專家:無解
    來源:量子位最近真是太難了,要防新冠病毒,還要防勒索病毒。昨天,B站556萬粉絲的up主「機智的黨妹」就發視頻說,自己被勒索病毒攻擊了。360安全專家:建議做個安全排查,不然這個勒索病毒可以種第一次,就有可能種第二次,連真正哪裡出現的問題都不知道,何談保護呢。安全配置要跟上,不管是專門的NAS伺服器,還是自己搭建的伺服器,口令安全很重要,不使用簡單口令,補丁要及時打上,不給黑客可趁之機。