Globelmposter勒索病毒預警：從“十二生肖”到“十二諸神”，為何國內醫療行業最受傷？

摘要：近日,安全團隊觀察到Globelmposter勒索病毒又出現最新變種,加密字尾有Ares666、Zeus666、Aphrodite666、Apollon666等。目前在國內醫療行業已發現有較多感染案例!

病毒名稱:Globelmposter“十二諸神”版本

病毒性質:勒索病毒

影響範圍:目前國內多家醫療機構感染

危害等級:高危

傳播方式:通過社會工程、RDP暴力破解入侵

病毒描述

這些字尾中,Ares是希臘神話裡的戰神阿瑞斯,Zeus是主神宙斯,Aphrodite愛與美之女神阿佛洛狄忒,Apollon是光明、音樂、預言與醫藥之神阿波羅。以上四位均是奧林匹斯十二主神,也就是古希臘宗教中最受崇拜的十二位神。也就是目前已經出現了四個以奧林匹斯十二主神名字+666的加密字尾版本,將此Globelmposter勒索病毒變種命名為Globelmposter“十二主神”版本,相信後續會不斷出現其他以希臘主神命名的新加密字尾。

在早前,已經跟蹤到了Globelmposter“十二生肖”版本,也就說Globelmposter3.0,其加密字尾以*4444為主要特徵,典型字尾包括十二生肖字尾Dragon4444(龍)、Pig4444(豬)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(雞)、Rat4444(鼠)、Horse4444(馬)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。

經過對比分析,確認“十二主神”版本為“十二生肖”的升級版,也就是說Globelmposter“十二主神”版本,是Globelmposter3.0的更新版本。目前該病毒變種依然無法解密,已有多家醫院的多臺伺服器感染病毒,業務出現癱瘓,危害巨大。

一直以來,國內一直飽受Globelmposter勒索病毒的侵害,涉及不同行業,覆蓋行業有醫療、政府、能源、貿易等行業。所不同的是,此勒索家族,對國內醫療行業危害最大,Globelmposter受感染的各個行業如下,可以看到受到Globelmposter侵害的比例,醫療行業佔到47.4%,接近一半:

黑客之所以傾向於醫療行業最主要的原因是,醫療衛生行業具有很大的業務緊迫性,一旦被勒索,將導致業務中斷,造成的損失不可估量,這又會導致這個行業的受害者為了快速恢復業務,而選擇給黑客支付贖金的方式。此外,境外黑客勢力並不會顧及行業的特殊性和公益性,較之以往更加變本加厲,給醫療衛生行業帶來了巨大的挑戰。

比如2018年春節年後,給社會帶來惡劣影響的醫療安全事件,就是Globelmposter病毒導致的。從此,黑客也開始不斷向醫院下手,醫療行業飽受毒害。

尤其是,勒索病毒的傳播感染方式多種多樣,使用的技術也不斷升級,且勒索病毒主要採用RSA+AES相結合的高強度加密演算法,導致加密後的檔案,多數情況下無法被解密,危害巨大。

Globelmposter勒索病毒變種通過社會工程,RDP爆破,惡意程式捆綁等方式進行傳播,加密受害主機檔案,釋放勒索資訊進行勒索,安全團隊密切關注該勒索病毒家族的發展動態,對捕獲的變種樣本進行了詳細分析。

Globelmposter勒索病毒是如何傳播感染的？

此勒索病毒為了保證正常執行,先關閉了Windows defender:

接著,建立自啟動項,啟動項命名為”WindowsUpdateCheck”:

通過執行cmd命令刪除磁碟卷影、停止資料庫服務:

遍歷卷並將其掛載:

系統保留卷被掛載:

遍歷磁碟檔案,其中排除以下目錄:“.”、“..”、windows、bootmgr、pagefile.sys、boot、ids.txt、NTUSER.DAT、PerfLogs;

以及以下字尾的檔案:“.dll”、“.lnk”、“.ini”、“.sys”。

對其餘檔案進行加密,加密字尾名比如“Ares666”:

加密完成後,刪除自啟動項:

執行cmd命令刪除自盤卷影、刪除遠端桌面連線資訊、清除系統日誌:

最後,病毒檔案進行自刪除處理:

中了Globelmposter勒索病毒檔案怎麼恢復？

此類勒索病毒目前暫時不支援解密

1.如果檔案不急需，可以先備份等黑客被抓或良心發現，自行釋出解密工具

2.如果檔案急需，可以掃文章二維碼新增我的服務號（shujuxf），傳送檔案樣本給我進行免費諮詢資料恢復方案，或者尋求其它第三方解密服務。

預防勒索病毒-日常防護建議：

預防遠比救援重要，所以為了避免出現此類事件，強烈建議大家日常做好以下防護措施：

1．多臺機器，不要使用相同的賬號和口令，以免出現“一臺淪陷，全網癱瘓”的慘狀；

2．登入口令要有足夠的長度和複雜性，並定期更換登入口令；

3．嚴格控制共享資料夾許可權，在需要共享資料的部分，儘可能的多采取雲協作的方式。

4．及時修補系統漏洞，同時不要忽略各種常用服務的安全補丁。

5．關閉非必要的服務和埠如135、139、445、3389等高危埠。

6．備份備份備份！！！重要資料一定要定期隔離備份。進行RAID備份、多機異地備份、混合雲備份，對於涉及到機密或重要的檔案建議選擇多種方式來備份；

7．提高安全意識，不隨意點選陌生連結、來源不明的郵件附件、陌生人通過即時通訊軟體傳送的檔案，在點選或執行前進行安全掃描，儘量從安全可信的渠道下載和安裝軟體；

8．安裝專業的安全防護軟體並確保安全監控正常開啟並執行，及時對安全軟體進行更新。