[[275629]]

奧林匹斯十二主神是古希臘中最受崇拜的十二位神，今年7月深信服率先披露了GlobeImposter勒索病毒的“十二主神”變種。該變種通過(guò)社會(huì)工程、RDP暴力破解組織網(wǎng)絡(luò)，給全國(guó)多個(gè)省份企業(yè)用戶及政府醫(yī)療教育單位造成了不小的沖擊，其加密后修改文件后綴為“希臘十二主神 + 666”，如下圖所示。

近日，深信服安全團(tuán)隊(duì)全球獨(dú)家追蹤到GlobeImposter勒索病毒“十二主神”出現(xiàn)全新升級(jí)，出現(xiàn)了Hermes865、Hades865、Apollon865等加密后綴的變種，深信服將其命名為GlobeImposter勒索病毒“十二主神”2.0版本。

2.0版本針對(duì)中國(guó)大陸用戶更新了具有中文說(shuō)明的勒索信息界面，截止目前，國(guó)內(nèi)已有多家企業(yè)遭到破壞，損失嚴(yán)重。深信服緊急提醒廣大用戶，防范此病毒破壞！

GlobeImposter勒索病毒危害多行業(yè)，醫(yī)療行業(yè)占到47.4%

一直以來(lái)，國(guó)內(nèi)各行業(yè)飽受Globelmposter勒索病毒的侵害,涉及行業(yè)有醫(yī)療、政府、能源、貿(mào)易等，其中，對(duì)醫(yī)療行業(yè)危害很大。被Globelmposter感染的各個(gè)行業(yè)如下，醫(yī)療行業(yè)占到47.4%，接近一半：

黑客之所以傾向于醫(yī)療行業(yè)最主要的原因是，醫(yī)療衛(wèi)生行業(yè)具有很大的業(yè)務(wù)緊迫性，一旦被勒索，將導(dǎo)致業(yè)務(wù)中斷，造成的損失不可估量，這又會(huì)導(dǎo)致這個(gè)行業(yè)的受害者為了快速恢復(fù)業(yè)務(wù)，而選擇給黑客支付贖金的方式。此外，境外黑客勢(shì)力并不會(huì)顧及行業(yè)的特殊性和公益性，較之以往更加變本加厲，給醫(yī)療行業(yè)帶來(lái)了巨大的挑戰(zhàn)。

比如2018年春節(jié)年后，給社會(huì)帶來(lái)惡劣影響的醫(yī)療安全事件，就是Globelmposter病毒導(dǎo)致的。從此，黑客也開(kāi)始不斷向醫(yī)院下手，醫(yī)療行業(yè)飽受毒害。

注：以上截圖，來(lái)自Freebuf

勒索病毒的傳播感染方式多種多樣，使用的技術(shù)也不斷升級(jí)，且勒索病毒主要采用RSA+AES相結(jié)合的高強(qiáng)度加密算法，導(dǎo)致加密后的文件，多數(shù)情況下無(wú)法被解密，危害巨大。

在深信服率先披露了GlobeImposter勒索病毒“十二主神”變種其后的兩個(gè)月時(shí)間內(nèi)，1.0版本的“十二主神”逐步釋放完畢，給全國(guó)多個(gè)省份企業(yè)用戶及政府醫(yī)療教育單位造成了不小的沖擊。

在1.0版本的“十二主神”仍然規(guī)模傳播的情況下，GlobeImposter勒索病毒運(yùn)營(yíng)團(tuán)伙研發(fā)出了“十二主神”2.0版本，不僅將加密后綴調(diào)整為“希臘十二主神 + 865”的形式（類似Hermes865、Hades865、Apollon865），更是針對(duì)中國(guó)大陸用戶更新了具有中文說(shuō)明的勒索信息界面，并且從原來(lái)的TXT文件升級(jí)成為EXE程序，添加到注冊(cè)表自啟動(dòng)：

盡管做了一些改動(dòng)，但2.0版本仍然沿用了與1.0版本相同的郵箱Sin_Eater.666@aol.com，再加上樣本與1.0高度相似，由此判斷2.0版本與1.0版本為同一個(gè)團(tuán)伙所為：

 1.0版本與2.0版本對(duì)比（左邊1.0版本，右邊2.0版本）

此外 ，該勒索目前似乎也處于調(diào)試階段，病毒加密后會(huì)在同目錄下釋放一個(gè)ids.txt，用于存放ID和打印錯(cuò)誤信息：

如何防范勒索病毒，深信服安全專家為您支招

針對(duì)已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶，由于暫時(shí)沒(méi)有解密工具，建議盡快對(duì)感染主機(jī)進(jìn)行斷網(wǎng)隔離。深信服安全專家提醒廣大用戶盡快做好病毒檢測(cè)與防御措施，防范該病毒家族的勒索破壞。

病毒檢測(cè)查殺

1、深信服EDR產(chǎn)品、下一代防火墻及安全感知平臺(tái)等安全產(chǎn)品均具備病毒檢測(cè)能力，部署相關(guān)產(chǎn)品用戶可進(jìn)行病毒檢測(cè)，如圖所示：

2、深信服為廣大用戶免費(fèi)提供查殺工具，可下載如下工具，進(jìn)行檢測(cè)查殺：

64位系統(tǒng)下載鏈接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統(tǒng)下載鏈接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

病毒防御

深信服安全團(tuán)隊(duì)再次提醒廣大用戶，勒索病毒以防為主，目前大部分勒索病毒加密后的文件都無(wú)法解密，注意日常防范措施：

1、及時(shí)給電腦打補(bǔ)丁，修復(fù)漏洞。

2、對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。

3、不要點(diǎn)擊來(lái)源不明的郵件附件，不從不明網(wǎng)站下載軟件。

4、盡量關(guān)閉不必要的文件共享權(quán)限。

5、更改賬戶密碼，設(shè)置強(qiáng)密碼，避免使用統(tǒng)一的密碼，因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破，多臺(tái)遭殃。

6、如果業(yè)務(wù)上無(wú)需使用RDP的，建議關(guān)閉RDP。當(dāng)出現(xiàn)此類事件時(shí)，推薦使用深信服防火墻，或者終端檢測(cè)響應(yīng)平臺(tái)（EDR）的微隔離功能對(duì)3389等端口進(jìn)行封堵，防止擴(kuò)散！

7、深信服下一代防火墻、終端檢測(cè)響應(yīng)平臺(tái)（EDR）均有防爆破功能，下一代防火墻開(kāi)啟此功能并啟用11080051、11080027、11080016規(guī)則，EDR開(kāi)啟防爆破功能可進(jìn)行防御。

8、深信服下一代防火墻用戶，建議升級(jí)到AF805版本，并開(kāi)啟SAVE安全智能檢測(cè)引擎，以達(dá)到很好的防御效果。

9、使用深信服安全產(chǎn)品，接入安全云腦，使用云查服務(wù)可以即時(shí)檢測(cè)防御新威脅。

10、深信服推出安全運(yùn)營(yíng)服務(wù)，通過(guò)以“人機(jī)共智”的服務(wù)模式幫助用戶快速擴(kuò)展安全能力，針對(duì)此類威脅安全運(yùn)營(yíng)服務(wù)提供設(shè)備安全設(shè)備策略檢查、安全威脅檢查、相關(guān)漏洞檢查等服務(wù)，確保及時(shí)檢測(cè)風(fēng)險(xiǎn)以及更新策略，防范此類威脅。