当前位置:首页 > 信息安全 > 安全通告 > 详情
安全漏洞预警通告-Globelmposter勒索病毒最新变种预警
2019年07月10日   

1、 基本情况

  近日观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666Zeus666Aphrodite666Apollon666等,目前国内已有多家大型医院率先发现感染案例。  

2、 漏洞描述

  Globelmposter勒索病毒攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名以*666结尾,文件被加密后会被加上以下后缀: 

  我们以Ares666加密勒索后缀为例,在VirusTotal上发现,样本上传时间点是201977号,而在其它威胁情报中也检索到,都集中在20197月初,可见这是最新升级并释放出来的版本。 

  其实,在早前,已经跟踪到了Globelmposter“十二生肖”版本,也就是Globelmposter3.0,其加密后缀以*4444为主要特征,典型后缀包括十二生肖后缀Dragon4444(龙)、Pig4444(猪)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(鸡)、Rat4444Horse4444(马)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444()等。 

  经过对比分析,确认“十二主神”版就是“十二生肖”的升级版本,也就是说,Globelmposter“十二主神”版,是Globelmposter3.0的更新版本,目前依然无法解密,已有多家医院的多台服务中招,业务出现瘫痪,危害巨大。 

3、 影响范围

  Globelmposter勒索病毒危害巨大,涉及不同行业,覆盖行业有医疗、政府、能源、贸易等。其中,该勒索病毒对国内医疗行业危害最大。 

4、 处置建议

  针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。 

  勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施: 

  1) 及时给电脑打补丁,修复漏洞。 

  2) 对重要的数据文件定期进行非本地备份。 

  3) 不要点击来源不明的邮件附件,不从不明网站下载软件。 

  4) 尽量关闭不必要的文件共享权限。 

  5) 更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。 

  6) 如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散! 

  最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。 

5、参考链接

  1) https://www.northsoar.com/News/detial/584