发布时间:2019-07-10 14:28:11,来源:中国信息通信研究院
近日观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等,目前国内已有多家大型医院率先发现感染案例。
Globelmposter勒索病毒攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名以*666结尾,文件被加密后会被加上以下后缀:
我们以Ares666加密勒索后缀为例,在VirusTotal上发现,样本上传时间点是2019年7月7号,而在其它威胁情报中也检索到,都集中在2019年7月初,可见这是最新升级并释放出来的版本。
其实,在早前,已经跟踪到了Globelmposter“十二生肖”版本,也就是Globelmposter3.0,其加密后缀以*4444为主要特征,典型后缀包括十二生肖后缀Dragon4444(龙)、Pig4444(猪)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(鸡)、Rat4444、Horse4444(马)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。
经过对比分析,确认“十二主神”版就是“十二生肖”的升级版本,也就是说,Globelmposter“十二主神”版,是Globelmposter3.0的更新版本,目前依然无法解密,已有多家医院的多台服务中招,业务出现瘫痪,危害巨大。
Globelmposter勒索病毒危害巨大,涉及不同行业,覆盖行业有医疗、政府、能源、贸易等。其中,该勒索病毒对国内医疗行业危害最大。
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。
勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
及时给电脑打补丁,修复漏洞。
对重要的数据文件定期进行非本地备份。
不要点击来源不明的邮件附件,不从不明网站下载软件。
尽量关闭不必要的文件共享权限。
更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。
https://www.northsoar.com/News/detial/584