当前位置:首页 > 漏洞预警 > 正文

Globelmposter勒索病毒最新变种预警

发布时间:2019-07-10 14:28:11,来源:中国信息通信研究院

一、基本情况

近日观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等,目前国内已有多家大型医院率先发现感染案例。

二、漏洞描述

Globelmposter勒索病毒攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名以*666结尾,文件被加密后会被加上以下后缀:

1.png

2.png

3.png

我们以Ares666加密勒索后缀为例,在VirusTotal上发现,样本上传时间点是2019年7月7号,而在其它威胁情报中也检索到,都集中在2019年7月初,可见这是最新升级并释放出来的版本。

4.png

其实,在早前,已经跟踪到了Globelmposter“十二生肖”版本,也就是Globelmposter3.0,其加密后缀以*4444为主要特征,典型后缀包括十二生肖后缀Dragon4444(龙)、Pig4444(猪)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(鸡)、Rat4444、Horse4444(马)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。

经过对比分析,确认“十二主神”版就是“十二生肖”的升级版本,也就是说,Globelmposter“十二主神”版,是Globelmposter3.0的更新版本,目前依然无法解密,已有多家医院的多台服务中招,业务出现瘫痪,危害巨大。

三、影响范围

Globelmposter勒索病毒危害巨大,涉及不同行业,覆盖行业有医疗、政府、能源、贸易等。其中,该勒索病毒对国内医疗行业危害最大。

四、处置建议

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。

勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

  • 及时给电脑打补丁,修复漏洞。

  • 对重要的数据文件定期进行非本地备份。

  • 不要点击来源不明的邮件附件,不从不明网站下载软件。

  • 尽量关闭不必要的文件共享权限。

  • 更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

  • 如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

五、参考链接

  • https://www.northsoar.com/News/detial/584