返回頂部
隱藏或顯示

新聞動態

News

纽卡斯尔西塞 www.qjozfa.com.cn

GlobeImposter勒索病毒“十二主神”全新升級,國內已有多個感染案例

/ 2019-09-03


近日,深信服安全團隊全球獨家追蹤到GlobeImposter勒索病毒“十二主神”出現全新升級,出現了Hermes865、Hades865、Apollon865等加密后綴的變種,深信服將其命名為GlobeImposter勒索病毒“十二主神”2.0版本。


2.0版本針對中國大陸用戶更新了具有中文說明的勒索信息界面,截止目前,國內已有多家企業遭到攻擊,損失嚴重。深信服緊急提醒廣大用戶,防范此病毒攻擊!

--->>向右滑動,查看不同加密后綴變種

病毒名稱:GlobeImposter勒索病毒“十二主神”2.0版本

病毒性質:勒索病毒

影響范圍:目前國內已有多行業用戶受感染

危害等級:高危

傳播方式:通過社會工程、RDP暴力破解入侵



病毒概述

今年7月深信服率先披露了GlobeImposter勒索病毒“十二主神”變種,其加密后修改文件后綴為“希臘十二主神 + 666”,其后在兩個月的時間內,1.0版本的“十二主神”逐步釋放完畢,給全國多個省份企業用戶及政府醫療教育單位造成了不小的沖擊,變種包括Zeus666、Poseidon666、Apollo666、Artemis666、Ares666、Aphrodite666、Dionysus666、Persephone666、Hephaestus666、Hades666、Demeter666、Hera666。


在1.0版本的“十二主神”仍然規模傳播的情況下,GlobeImposter勒索病毒運營團伙研發出了“十二主神”2.0版本,不僅將加密后綴調整為“希臘十二主神 + 865”的形式(類似Hermes865、Hades865、Apollon865),更是針對中國大陸用戶更新了具有中文說明的勒索信息界面,并且從原來的TXT文件升級成為EXE程序,添加到注冊表自啟動:


盡管做了一些改動,但2.0版本仍然沿用了與1.0版本相同的郵箱[email protected],再加上樣本與1.0高度相似,由此判斷2.0版本與1.0版本為同一個團伙所為:


1.0版本與2.0版本對比(左邊1.0版本,右邊2.0版本)


此外 ,該勒索目前似乎也處于調試階段,病毒加密后會在同目錄下釋放一個ids.txt,用于存放ID和打印錯誤信息:



樣本分析

對捕獲到的樣本進行了詳細技術分析,發現其與Globlemposter“十二主神”1.0版本在代碼結構上高度相似。


該病毒運行后首先會創建勒索信息文件“HOW TO BACK YOUR FILES.exe”到各個目錄。然后,關閉家庭組,關閉Windows defender。


接著病毒會創建自啟動項,并且命名為“WindowsUpdateCheck”,通過執行cmd命令刪除磁盤卷影、停止數據庫服務,遍歷卷并將其掛載,遍歷磁盤文件:


在病毒加密文件后,復制勒索信息文件到被加密的目錄:


最后,病毒執行cmd命令刪除遠程桌面連接信息、清除系統日志,進行自刪除處理。


解決方案

針對已經出現勒索現象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網隔離。深信服提醒廣大用戶盡快做好病毒檢測與防御措施,防范該病毒家族的勒索攻擊。

病毒檢測查殺


1、深信服EDR產品、下一代防火墻安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品用戶可進行病毒檢測,如圖所示:


2、深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺:

64位系統下載鏈接:

//edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載鏈接:

//edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

病毒防御


深信服安全團隊再次提醒廣大用戶,勒索病毒以防為主,目前大部分勒索病毒加密后的文件都無法解密,注意日常防范措施:

1、及時給電腦打補丁,修復漏洞。

2、對重要的數據文件定期進行非本地備份。

3、不要點擊來源不明的郵件附件,不從不明網站下載軟件。

4、盡量關閉不必要的文件共享權限。

5、更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。

6、如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服防火墻,或者終端檢測響應平臺(EDR)的微隔離功能對3389等端口進行封堵,防止擴散!

7、深信服下一代防火墻、終端檢測響應平臺(EDR)均有防爆破功能,下一代防火墻開啟此功能并啟用11080051、11080027、11080016規則,EDR開啟防爆破功能可進行防御。

8、深信服下一代防火墻用戶,建議升級到AF805版本,并開啟SAVE安全智能檢測引擎,以達到最好的防御效果。

9、使用深信服安全產品,接入安全云腦,使用云查服務可以即時檢測防御新威脅。

10、深信服推出安全運營服務,通過以“人機共智”的服務模式幫助用戶快速擴展安全能力,針對此類威脅安全運營服務提供設備安全設備策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防范此類威脅。

咨詢與服務

您可以通過以下方式聯系我們,獲取關于

GlobeImposter勒索病毒的免費咨詢及支持服務:

1)撥打電話400-630-6430轉6號線

2)關注【深信服技術服務】微信公眾號,選擇“智能服務”菜單,進行咨詢

3)PC端訪問深信服區

bbs.www.qjozfa.com.cn,選擇右側智能客服,進行咨詢


©2000-2019    深信服科技股份有限公司    版權所有    纽卡斯尔西塞

粵公網安備

粵公網安備44030502002384號