緊急預警:Globelmposter再次攻擊醫療行業,爆“十二生肖”2.0新變種
近日,深信服安全團隊觀察到Globelmposter勒索病毒再次出現最新變種,加密檔案字尾以十二生肖+865qq的方式出現,截至目前國內多個省市均發現感染案例,覆蓋多行業,其中醫療行業影響最嚴重,個別省份同一天出現10家以上醫院受感染。結合早期Globelmposter勒索病毒特徵,深信服安全團隊將其命名為“十二生肖”2.0版本。
病毒描述
“十二生肖”2.0版本勒索資訊如下,有兩個版本,以下是英文版勒索資訊,有對應的中文版勒索資訊。
Globelmposter“十二生肖”2.0版本加密字尾分別有Pig865qq、Rooster865qq、Tiger865qq、Dragon865qq、Snake865qq、Rat865qq、Horse865qq、Dog865qq、Monkey865qq、Rabbit865qq、Goat855qq等,以十二生肖+865qq的方式出現。
早在18年8月份,深信服已經跟蹤到了Globelmposter“十二生肖”1.0版本,也就說Globelmposter3.0,其加密字尾以*4444為主要特徵,典型字尾包括十二生肖字尾Dragon4444(龍)、Pig4444(豬)、Tiger4444(虎)、Snake4444(蛇)、Rooster4444(雞)、Rat4444(鼠)、Horse4444(馬)、Dog4444(狗)、Monkey4444(猴)、Rabbit4444(兔)、Goat4444(羊)等。
Globelmposter“十二生肖”1.0版本具體資訊詳見:緊急預警:Globelmposter再爆3.0變種,大型醫院已中招
今年7月,Globelmpostser勒索病毒開始出現“十二主神”版本,加密字尾以“希臘十二主神+666” 、 “希臘十二主神 + 865”等形式出現。
Globelmpostser“十二主神”版本具體資訊詳見:Globelmposter勒索病毒最新變種預警:從“十二生肖”到“十二主神”,為何國內醫療行業最受傷?
本次發現的Globelmposter“十二生肖”2.0版本,沿用了Globelmposter“十二生肖”1.0版本的命名,卻繼承了“十二主神”2.0的特點,沒有采用“十二生肖”1.0版本的勒索資訊,而是採用了“十二主神”的勒索資訊。
一直以來,國內一直飽受Globelmposter勒索病毒的侵害,涉及不同行業,覆蓋行業有醫療、政府、能源、貿易等行業。其中對醫療行業危害最大,醫療衛生行業具有很大的業務緊迫性,一旦被勒索,將導致業務中斷,造成的損失不可估量,這又會導致這個行業的受害者為了快速恢復業務,而選擇給駭客支付贖金的方式。此外,境外駭客勢力並不會顧及行業的特殊性和公益性,較之以往更加變本加厲,給醫療衛生行業帶來了巨大的挑戰。
本次Globelmposter“十二生肖”2.0版本,主要瞄準目標為核心業務的伺服器,攻擊HIS、LIS、PACS等系統,導致門診無法看病,資料庫被加密,如下,可以看到被加密的檔案被追加了Tiger865qq的字尾名。
解決方案
針對已經出現勒索現象的使用者,由於暫時沒有解密工具,建議儘快對感染主機進行斷網隔離。深信服提醒廣大使用者儘快做好病毒檢測與防禦措施,防範該病毒家族的勒索攻擊。
病毒檢測查殺1、深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品使用者可進行病毒檢測,如圖所示:
2、深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。
病毒防禦64位系統下載連結:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載連結:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
1、及時給電腦打補丁,修復漏洞;
2、對重要的資料檔案定期進行非本地備份;
3、不要點選來源不明的郵件附件,不從不明網站下載軟體;
4、儘量關閉不必要的檔案共享許可權;
5、更改賬戶密碼,設定強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃;
6、如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服防火牆,或者終端檢測響應平臺(EDR)的微隔離功能對3389等埠進行封堵,防止擴散;
7、深信服防火牆、終端檢測響應平臺(EDR)均有防爆破功能,防火牆開啟此功能並啟用11080051、11080027、11080016規則,EDR開啟防爆破功能可進行防禦;
8、深信服防火牆客戶,建議升級到AF805版本,並開啟人工智慧引擎Save,以達到最好的防禦效果;
10、深信服終端檢測響應平臺(EDR)支援識別市面上大多數的流行駭客工具,並具備主動攔截和禁止執行功能;深信服EDR客戶,建議開啟勒索防護功能,精準攔截勒索病毒;
11、使用深信服安全產品,接入安全雲腦,使用雲查服務可以即時檢測防禦新威脅;
12、深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速擴充套件安全能力,針對此類威脅安全運營服務提供裝置安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。
最後,建議企業對全網進行一次安全檢查和防毒掃描,加強防護工作。推薦使用深信服安全感知+防火牆+EDR,對內網進行感知、查殺和防護。
相關文章
- 緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊
- 緊急預警:Globelmposter勒索病毒全國蔓延,已有大型醫院中招,企事業單位一定要做好這幾點措施
- 醫療行業如何應對網路攻擊?行業
- 醫療行業資訊保安敲警鐘,黑客攻擊或致大量公民個人資訊洩露行業黑客
- IBM:醫療行業是網路攻擊“重災區”IBM行業
- 在未來AI如何變革醫療行業?AI行業
- 破局|醫療行業重大網路攻擊事件頻發,如何解決?附解決方案行業事件
- 什麼是DDoS攻擊?哪些行業最需要預防DDoS攻擊?行業
- 5G給醫療行業帶來哪些變化行業
- [原創]緊急預警 | Windows 遠端桌面服務程式碼執行漏洞風險預警(CVE-2019-0708)Windows
- 雲知聲智慧醫療,賦能醫療,領跑行業行業資訊化建設行業
- 改變醫療行業的八個大資料應用行業大資料
- 遊戲行業獲批首張醫療器械註冊證,或將同時改變遊戲與醫療遊戲行業
- 北京健康寶遭到境外網路攻擊,再次敲響網路安全警鐘
- 應對網路攻擊:提前預警+積極防禦
- 醫療行業如何來運營連鎖醫藥小程式||智慧醫療開發行業
- 中小型企業4種網路攻擊預防方法
- 谷歌風投將改變醫療行業的7個專案谷歌行業
- 醫療行業解決方案參考行業
- 虛擬模擬技術給醫療行業帶來新突破行業
- 勒索、洩密頻發|醫療行業如何應對日益緊迫的網路威脅行業
- 蘋果iPhone怎麼設定醫療急救卡?蘋果iPhone手機緊急聯絡人使用教程蘋果iPhone
- 聚焦醫療電子票據改革,護航醫療行業票據業務安全行業
- Win10高危漏洞遭黑產攻擊!騰訊安全緊急響應全面攔截Win10
- 英偉達副總裁:生物醫療將是與 AI 結合最緊密的行業之一AI行業
- 醫療行業供應商管理系統行業
- 醫療行業郵件營銷案例分析行業
- 針對醫療保健網路攻擊危及患者生命並影響護理
- 如果黑客攻擊了醫院黑客
- 直播預告|醫療行業網路與資料安全回顧與前瞻行業
- 醫療BI系統如何讓醫療行業實現精細化管理轉型?行業
- 深睿醫療新產品臻現, AI賦能睿智醫療AI
- 2021智慧醫療白皮書:醫療行業數字化轉型(附下載)行業
- 醫療應急系統的遠端音影片化
- 物聯網對醫療行業的影響行業
- 醫療行業渠道商線上管理系統行業
- 為什麼醫療行業需要精益管理行業
- 中國醫療器械行業發展研究報告行業