[[275629]]

奧林匹斯十二主神是古希臘中最受崇拜的十二位神，今年7月深信服率先披露了GlobeImposter勒索病毒的“十二主神”變種。該變種通過社會工程、RDP暴力破解組織網(wǎng)絡(luò)，給全國多個省份企業(yè)用戶及政府醫(yī)療教育單位造成了不小的沖擊，其加密后修改文件后綴為“希臘十二主神 + 666”，如下圖所示。

近日，深信服安全團(tuán)隊(duì)全球獨(dú)家追蹤到GlobeImposter勒索病毒“十二主神”出現(xiàn)全新升級，出現(xiàn)了Hermes865、Hades865、Apollon865等加密后綴的變種，深信服將其命名為GlobeImposter勒索病毒“十二主神”2.0版本。

2.0版本針對中國大陸用戶更新了具有中文說明的勒索信息界面，截止目前，國內(nèi)已有多家企業(yè)遭到破壞，損失嚴(yán)重。深信服緊急提醒廣大用戶，防范此病毒破壞！

GlobeImposter勒索病毒危害多行業(yè)，醫(yī)療行業(yè)占到47.4%

一直以來，國內(nèi)各行業(yè)飽受Globelmposter勒索病毒的侵害,涉及行業(yè)有醫(yī)療、政府、能源、貿(mào)易等，其中，對醫(yī)療行業(yè)危害很大。被Globelmposter感染的各個行業(yè)如下，醫(yī)療行業(yè)占到47.4%，接近一半：

黑客之所以傾向于醫(yī)療行業(yè)最主要的原因是，醫(yī)療衛(wèi)生行業(yè)具有很大的業(yè)務(wù)緊迫性，一旦被勒索，將導(dǎo)致業(yè)務(wù)中斷，造成的損失不可估量，這又會導(dǎo)致這個行業(yè)的受害者為了快速恢復(fù)業(yè)務(wù)，而選擇給黑客支付贖金的方式。此外，境外黑客勢力并不會顧及行業(yè)的特殊性和公益性，較之以往更加變本加厲，給醫(yī)療行業(yè)帶來了巨大的挑戰(zhàn)。

比如2018年春節(jié)年后，給社會帶來惡劣影響的醫(yī)療安全事件，就是Globelmposter病毒導(dǎo)致的。從此，黑客也開始不斷向醫(yī)院下手，醫(yī)療行業(yè)飽受毒害。

注：以上截圖，來自Freebuf

勒索病毒的傳播感染方式多種多樣，使用的技術(shù)也不斷升級，且勒索病毒主要采用RSA+AES相結(jié)合的高強(qiáng)度加密算法，導(dǎo)致加密后的文件，多數(shù)情況下無法被解密，危害巨大。

在深信服率先披露了GlobeImposter勒索病毒“十二主神”變種其后的兩個月時間內(nèi)，1.0版本的“十二主神”逐步釋放完畢，給全國多個省份企業(yè)用戶及政府醫(yī)療教育單位造成了不小的沖擊。

在1.0版本的“十二主神”仍然規(guī)模傳播的情況下，GlobeImposter勒索病毒運(yùn)營團(tuán)伙研發(fā)出了“十二主神”2.0版本，不僅將加密后綴調(diào)整為“希臘十二主神 + 865”的形式（類似Hermes865、Hades865、Apollon865），更是針對中國大陸用戶更新了具有中文說明的勒索信息界面，并且從原來的TXT文件升級成為EXE程序，添加到注冊表自啟動：

盡管做了一些改動，但2.0版本仍然沿用了與1.0版本相同的郵箱Sin_Eater.666@aol.com，再加上樣本與1.0高度相似，由此判斷2.0版本與1.0版本為同一個團(tuán)伙所為：

 1.0版本與2.0版本對比（左邊1.0版本，右邊2.0版本）

此外 ，該勒索目前似乎也處于調(diào)試階段，病毒加密后會在同目錄下釋放一個ids.txt，用于存放ID和打印錯誤信息：

如何防范勒索病毒，深信服安全專家為您支招

針對已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶，由于暫時沒有解密工具，建議盡快對感染主機(jī)進(jìn)行斷網(wǎng)隔離。深信服安全專家提醒廣大用戶盡快做好病毒檢測與防御措施，防范該病毒家族的勒索破壞。

病毒檢測查殺

1、深信服EDR產(chǎn)品、下一代防火墻及安全感知平臺等安全產(chǎn)品均具備病毒檢測能力，部署相關(guān)產(chǎn)品用戶可進(jìn)行病毒檢測，如圖所示：

2、深信服為廣大用戶免費(fèi)提供查殺工具，可下載如下工具，進(jìn)行檢測查殺：

64位系統(tǒng)下載鏈接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統(tǒng)下載鏈接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

病毒防御

深信服安全團(tuán)隊(duì)再次提醒廣大用戶，勒索病毒以防為主，目前大部分勒索病毒加密后的文件都無法解密，注意日常防范措施：

1、及時給電腦打補(bǔ)丁，修復(fù)漏洞。

2、對重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。

3、不要點(diǎn)擊來源不明的郵件附件，不從不明網(wǎng)站下載軟件。

4、盡量關(guān)閉不必要的文件共享權(quán)限。

5、更改賬戶密碼，設(shè)置強(qiáng)密碼，避免使用統(tǒng)一的密碼，因?yàn)榻y(tǒng)一的密碼會導(dǎo)致一臺被攻破，多臺遭殃。

6、如果業(yè)務(wù)上無需使用RDP的，建議關(guān)閉RDP。當(dāng)出現(xiàn)此類事件時，推薦使用深信服防火墻，或者終端檢測響應(yīng)平臺（EDR）的微隔離功能對3389等端口進(jìn)行封堵，防止擴(kuò)散！

7、深信服下一代防火墻、終端檢測響應(yīng)平臺（EDR）均有防爆破功能，下一代防火墻開啟此功能并啟用11080051、11080027、11080016規(guī)則，EDR開啟防爆破功能可進(jìn)行防御。

8、深信服下一代防火墻用戶，建議升級到AF805版本，并開啟SAVE安全智能檢測引擎，以達(dá)到很好的防御效果。

9、使用深信服安全產(chǎn)品，接入安全云腦，使用云查服務(wù)可以即時檢測防御新威脅。

10、深信服推出安全運(yùn)營服務(wù)，通過以“人機(jī)共智”的服務(wù)模式幫助用戶快速擴(kuò)展安全能力，針對此類威脅安全運(yùn)營服務(wù)提供設(shè)備安全設(shè)備策略檢查、安全威脅檢查、相關(guān)漏洞檢查等服務(wù)，確保及時檢測風(fēng)險以及更新策略，防范此類威脅。