安全研究 >> 安全研究详情

注意!Globelmposter 勒索病毒最新变种预警

作者: 美创科技安全实验室发布日期: 07月09日

概    况


近日,美创安全实验室根据勒索病毒威胁情报,观察到 Globelmposter 勒索病毒又出现最新变种,加密后缀有 Ares666、Zeus666、Aphrodite666、Apollon666 等。目前在国内医疗行业已发现有感染案例!



病毒名称:

Globelmposter“十二主神”版本

病毒性质:

勒索病毒

影响范围:

目前国内多家医疗机构感染

危害等级:

高危

传播方式:

通过社会工程、RDP暴力破解入侵


病毒情况


美创安全实验室第一时间拿到相关病毒样本,经 virustotal 检测,确认为 Globelmposter 勒索病毒。目前该病毒变种依然无法解密,已有多家医院的多台服务器感染病毒,业务出现瘫痪,危害巨大。


Globelmposter 勒索病毒变种通过社会工程,RDP 爆破,恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索,美创安全实验室密切关注该勒索病毒家族的发展动态,对捕获的变种样本进行了详细分析。


详细信息


此勒索病毒为了保证正常运行,先关闭了 Windows defender,接着,创建自启动项,通过执行 cmd 命令删除磁盘卷影、停止数据库服务。同时对数据文件进行加密,几分钟后,生成勒索信息文件“HOW TO BACK YOUR FILES.txt”,文件信息如下:


加密完成后,删除自启动项,执行 cmd 命令删除磁盘卷影、删除远程桌面连接信息、清除系统日志。最后,病毒文件进行自删除处理。


防护措施


根据该勒索病毒的传播方式,您可以通过以下方式防护该病毒,以尽可能避免损失:

(1)及时给电脑打补丁,修复漏洞。

(2)对重要的数据文件定期进行非本地备份。

(3)不要点击来源不明的邮件附件,不从不明网站下载软件。

(4)尽量关闭不必要的文件共享权限。

(5)更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。


以上为防护勒索病毒的常规方式,为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对 Globelmposter 勒索病毒的防护效果。


美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护 office 文档【如想保护数据库文件可通过添加策略一键保护】。


在 test 目录下,添加以下文件,若服务器中了勒索病毒,在无诺亚情况下,该文件被加密无法正常打开。


双击执行病毒文件,当勒索病毒尝试加密被保护文件,即 test 目录下的文件时,诺亚防勒索提出警告并拦截该行为。


在拦截危险操作后,诺亚防勒索系统默认将该病毒移入隔离区。


查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。


为保护系统全部文件,可一键开启堡垒模式防止任何新增可执行文件的执行,实现诺亚防勒索的最强防护模式。


运行在堡垒模式下,执行 Ares666.exe,立刻被移除到隔离区,因此可阻止任何未知勒索病毒的执行。



服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备 09009762号-1