Recently, deeply convinced of the security team observed Globelmposter extortion latest variant virus appeared, encryption suffix have Ares666, Zeus666, Aphrodite666, Apollon666, etc., currently has a number of large hospitals first to discover cases of infection!
Ares is the Greek mythology, Ares, Zeus is the god Zeus, Aphrodite is the goddess of love and beauty Aphrodite, Apollon is bright, Apollo god of music, prophecy and medicine, the accidental discovery through access to information, more than four are the twelve Olympians, the ancient Greek religion is the most admired twelve gods. From the graph, you can see, there have been four to Twelve Olympians name suffix encrypted version +666, and we see this Globelmposter extortion virus variants named Globelmposter "twelve Lord God" version, I believe that some follow-up We will continue to the emergence of new encryption suffix to other major gods named.
(Note: The above screenshot, extortion corresponding encryption version suffix from Baidu Encyclopedia, red circle, are already appearing.)
We Ares666 encryption blackmail suffix, for example, on VirusTotal discovery, sample upload time is July 2019 No. 7, while in other threat intelligence is also retrieved, are concentrated in the beginning of July 2019, showing that this is the latest upgrade and released version.
In fact, earlier, deep convinced been tracked to Globelmposter "Zodiac" version, which is Globelmposter3.0, encrypts it with the suffix * 4444 as the main feature, including Zodiac typical suffix suffix Dragon4444 (Long), Pig4444 (pig) , Tiger4444 (tiger), Snake4444 (snake), Rooster4444 (chicken), Rat4444, Horse4444 (MA), Dog4444 (dog), Monkey4444 (monkey), Rabbit4444 (rabbit), Goat4444 (sheep) and so on.
We go through comparative analysis, confirmed "Twelve Lord God" version is the "Zodiac" upgrade version, that is to say, Globelmposter "twelve Lord God" version, is an updated version Globelmposter3.0 currently still can not be decrypted, it has been more than hospital services in multiple strokes, paralysis of business, great harm.
其实,国内一直饱受Globelmposter勒索病毒的侵害,涉及不同行业,覆盖行业有医疗、政府、能源、贸易等。其中,该勒索病毒对国内医疗行业危害最大。在受Globelmposter感染的各个行业中,医疗行业占到47.4%,接近一半,详情见下图:
医疗行业占比高的主要原因在于,该行业具有很大的业务紧迫性,一旦被勒索,将导致业务中断,造成的损失不可估量,受害者为了快速恢复业务,会选择给黑客支付赎金,这使得攻击者更容易达到他的目的。此外,境外黑客势力并不会管这个行业的特殊性和公益性,较之以往更加变本加厉,给医疗卫生行业带来了巨大的挑战。
2018年春节年后,影响最恶劣的医疗安全事件,就是Globelmposter做的,从此,黑客也开始不断向医院下手,可谓毫无人性。
(注:以上截图,来自Freebuf。)
虽然勒索病毒的传播感染方式多种多样,使用的技术也不断升级,但勒索病毒主要采用的加密算法依旧是RSA+AES相结合的高强度加密算法,导致加密后的文件,多数情况下是无法被解密,所以危害巨大。
Globelmposter勒索病毒变种通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索,深信服安全团队密切关注该勒索病毒家族的发展动态,对捕获的变种样本进行了详细分析。
一、详细分析
此勒索病毒为了保证正常运行,先关闭了Windows 。
defender:
接着,创建自启动项,启动项命名为”WindowsUpdateCheck”:
通过执行cmd命令删除磁盘卷影、停止数据库服务:
历卷并将其挂载:
系统保留卷被挂载:
遍历磁盘文件:
排除以下文件及目录:
“.”、“..”、windows、bootmgr、pagefile.sys、boot、ids.txt、NTUSER.DAT、PerfLogs;
排除以下后缀名的文件:
“.dll”、“.lnk”、“.ini”、“.sys”。
对其余文件进行加密,加密后缀名为”Ares666”:
生成勒索信息文件“HOW TO BACK YOUR FILES.txt”:
勒索信息如下:
加密完成后,删除自启动项:
执行cmd命令删除磁盘卷影、删除远程桌面连接信息、清除系统日志:
最后,病毒文件进行自删除处理:
二、解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
病毒检测查杀
1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2、深信服EDR产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。
病毒防御
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7、深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
8、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
9、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。
Finally, the proposed business for the whole network to conduct a safety inspection and antivirus scanning, strengthen protection work. Deeply convinced of recommended security-aware firewall + + EDR, internal network for perception, killing and protection.