1. <small id="rw2jk"></small>
      網絡安全 頻道

      GlobeImposter勒索病毒家族又爆全新變種,深信服安全專家支招


       

      奧林匹斯十二主神是古希臘中最受崇拜的十二位神,今年7月深信服率先披露了GlobeImposter勒索病毒的十二主神變種。該變種通過社會工程、RDP暴力破解入侵組織網絡,給全國多個省份企業用戶及政府醫療教育單位造成了不小的沖擊,其加密后修改文件后綴為希臘十二主神 + 666”,如下圖所示。

       

      近日,深信服安全團隊全球獨家追蹤到GlobeImposter勒索病毒十二主神出現全新升級,出現了Hermes865Hades865Apollon865等加密后綴的變種,深信服將其命名為GlobeImposter勒索病毒十二主神”2.0版本。

       

      2.0版本針對中國大陸用戶更新了具有中文說明的勒索信息界面,截止目前,國內已有多家企業遭到攻擊,損失嚴重。深信服緊急提醒廣大用戶,防范此病毒攻擊!

       

      GlobeImposter勒索病毒危害多行業,醫療行業占到47.4%

       

      一直以來,國內各行業飽受Globelmposter勒索病毒的侵害,涉及行業有醫療、政府、能源、貿易等,其中,對醫療行業危害最大。被Globelmposter感染的各個行業如下,醫療行業占到47.4%,接近一半:

      黑客之所以傾向于醫療行業最主要的原因是,醫療衛生行業具有很大的業務緊迫性,一旦被勒索,將導致業務中斷,造成的損失不可估量,這又會導致這個行業的受害者為了快速恢復業務,而選擇給黑客支付贖金的方式。此外,境外黑客勢力并不會顧及行業的特殊性和公益性,較之以往更加變本加厲,給醫療行業帶來了巨大的挑戰。

       

      比如2018年春節年后,給社會帶來惡劣影響的醫療安全事件,就是Globelmposter病毒導致的。從此,黑客也開始不斷向醫院下手,醫療行業飽受毒害。

       

      注:以上截圖,來自Freebuf

       

      勒索病毒的傳播感染方式多種多樣,使用的技術也不斷升級,且勒索病毒主要采用RSA+AES相結合的高強度加密算法,導致加密后的文件,多數情況下無法被解密,危害巨大。

       

      在深信服率先披露了GlobeImposter勒索病毒十二主神變種其后的兩個月時間內,1.0版本的十二主神逐步釋放完畢,給全國多個省份企業用戶及政府醫療教育單位造成了不小的沖擊。

       

      1.0版本的十二主神仍然規模傳播的情況下,GlobeImposter勒索病毒運營團伙研發出了十二主神”2.0版本,不僅將加密后綴調整為希臘十二主神 + 865”的形式(類似Hermes865Hades865Apollon865),更是針對中國大陸用戶更新了具有中文說明的勒索信息界面,并且從原來的TXT文件升級成為EXE程序,添加到注冊表自啟動:

       

       

      盡管做了一些改動,但2.0版本仍然沿用了與1.0版本相同的郵箱Sin_Eater.666@aol.com,再加上樣本與1.0高度相似,由此判斷2.0版本與1.0版本為同一個團伙所為:

       

      1.0版本與2.0版本對比(左邊1.0版本,右邊2.0版本)

       

      此外 ,該勒索目前似乎也處于調試階段,病毒加密后會在同目錄下釋放一個ids.txt,用于存放ID和打印錯誤信息:

       

       

       

      如何防范勒索病毒,深信服安全專家為您支招

       

      針對已經出現勒索現象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網隔離。深信服安全專家提醒廣大用戶盡快做好病毒檢測與防御措施,防范該病毒家族的勒索攻擊。

       

      病毒檢測查殺

      1深信服EDR產品、下一代防火墻及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品用戶可進行病毒檢測,如圖所示:

      2深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺:

      64位系統下載鏈接:

      http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

      32位系統下載鏈接:

      http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

       

      病毒防御

      深信服安全團隊再次提醒廣大用戶,勒索病毒以防為主,目前大部分勒索病毒加密后的文件都無法解密,注意日常防范措施:

      1及時給電腦打補丁,修復漏洞。

      2對重要的數據文件定期進行非本地備份。

      3不要點擊來源不明的郵件附件,不從不明網站下載軟件。

      4盡量關閉不必要的文件共享權限。

      5更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。

      6如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服防火墻,或者終端檢測響應平臺(EDR)的微隔離功能對3389等端口進行封堵,防止擴散!

      7深信服下一代防火墻、終端檢測響應平臺(EDR)均有防爆破功能,下一代防火墻開啟此功能并啟用110800511108002711080016規則,EDR開啟防爆破功能可進行防御。

      8深信服下一代防火墻用戶,建議升級到AF805版本,并開啟SAVE安全智能檢測引擎,以達到最好的防御效果。

      9使用深信服安全產品,接入安全云腦,使用云查服務可以即時檢測防御新威脅。

      10深信服推出安全運營服務,通過以人機共智的服務模式幫助用戶快速擴展安全能力,針對此類威脅安全運營服務提供設備安全設備策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防范此類威脅。

       


      0
      相關文章
        影视站