全球冒名顶替者引爆新品种，医疗和其他行业受到攻击

本篇文章2186字，读完约5分钟

最近，深信不疑的安全团队再次观察到了Globelmposter勒索病毒的最新变种，加密文件的后缀以十二宫图+865qq的形式出现。到目前为止，中国许多省市都发现了感染病例，涉及许多行业，其中医疗行业受感染最严重，一些省市有10多家医院在同一天被感染。结合早期全球反恐勒索病毒的特点，安全小组确信将其命名为十二宫杀手2.0。

地球仪12生肖版本2.0加密后缀以12生肖+865qq的形式出现，分别为:

Pig865qq、Rooster865qq、Tiger865qq、

Dragon865qq、蛇形865qq、Rat865qq、

Horse865qq、Dog865qq、Monkey865qq、

拉比865qq、山羊855qq等。

▲黄道2.0英语勒索信息

早在8月18日，我就确信我已经追踪到了地球仪星座1.0，也就是地球仪星座3.0。它的加密后缀主要是*4444。典型的后缀包括:

龙4444(龙)，猪4444(猪)，

老虎4444，蛇4444，

公鸡4444(鸡)，老鼠4444(鼠)，

马4444，狗4444，

猴子4444兔子4444(兔子)，

山羊4444(绵羊)等

关于地球仪星座1.0的具体信息，请参考:紧急警告:地球仪爆炸另一个3.0变体，大型医院已经被招募

今年7月，Globelmpostser讹诈病毒开始出现在《十二神》的版本中，加密的后缀以希腊十二神+666和希腊十二神+865的形式出现。

有关Globelmpostser XII版本的详细信息，请参阅:

全球名人勒索病毒警告:从十二宫杀手到十二宫杀手，为什么国内医疗行业受到的伤害最大？

这次发现的十二生肖版本2.0沿用了Globelmposter的十二生肖版本1.0的名称，但继承了十二神版本2.0的特征，而不是使用十二生肖版本1.0的讹诈信息，而是使用十二神版本的讹诈信息。

很长一段时间以来，这个国家一直遭受着全球恐怖分子的讹诈病毒，涉及到不同的行业，包括医疗、政府、能源、贸易等行业。其中，它对医疗行业危害最大。医疗卫生行业有很大的业务紧迫性。一旦被敲诈，它将导致业务中断和不可估量的损失，这反过来将导致该行业的受害者选择向黑客支付赎金，以便迅速恢复业务。此外，海外黑客势力没有考虑到行业的特殊性和公益性，这种情况已经变得越来越严重，给医疗卫生行业带来了巨大的挑战。

Globemoster Chodar 2.0版本主要针对服务器，其核心业务是远程控制服务器并通过医疗保险窗口机器传播病毒，攻击HIS、LIS、PACS和其他系统，导致数据库加密和无法在门诊诊所看病。如下所示，可以看到加密文件附加了Tiger865qq的后缀。

那么你如何处理全球冒名顶替者黄道2.0？

对于已经遭受敲诈的用户，建议尽快断开受感染主机的连接，因为目前没有解密工具。深信不疑，提醒用户尽快完成病毒检测和防御措施，以防止病毒家族的讹诈攻击。

1、病毒检测和杀灭

(1)我们确信会为广大用户提供免费的杀毒工具。可以下载以下工具进行检测和杀死。

64位系统的下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统的下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

(2)我们深信EDR产品和下一代防火墙、安全意识平台等安全产品具有病毒检测能力，部署相关产品的用户可以进行病毒检测。

2.病毒防御

(1)及时修补电脑，修补漏洞。

(2)重要数据文件的定期非本地备份。

(3)不要点击来源不明的电子邮件附件，也不要从未知网站下载软件。

(4)尝试关闭不必要的文件共享权限。

(5)更改帐户密码，设置强密码，避免使用统一密码，因为统一密码会导致一个人被攻破，许多人受害。

(6)如果业务上不需要RDP，建议关闭RDP。当此类事件发生时，建议使用深度和令人信服的防火墙或EDR的微隔离功能来阻止3389和其他端口，以防止扩散。

(7)我相信下一代防火墙和EDR都有防爆功能。防火墙打开此功能并启用11080051、11080027和11080016规则。EDR开启防爆功能进行防御。

(8)深受防火墙客户的认同，建议升级到AF805版本，启动SAVE安全智能检测引擎，以达到最佳的防御效果。

(9)使用深信不疑的安全产品、访问安全云大脑以及使用云检查服务可以实时检测和防御新的威胁。

(10)我们深信要引进安全操作服务。我们通过人机智能服务模式帮助用户快速扩展其安全能力。我们提供设备安全设备策略检查、安全威胁检查以及针对此类威胁安全操作服务的相关漏洞检查等服务，以确保首先检测到风险并更新策略来防止此类威胁。

最后，建议企业对整个网络进行安全检查和防病毒扫描，加强防护工作。建议使用深信不疑的安全意识平台+下一代防火墙+EDR来感知、杀死和保护内部网。

论深刻信念与知识安全

深信智能安全维护面向未来和有效保护的安全概念，并提供实用的安全产品、灵活的安全服务和面向未来的安全解决方案。让用户能够不断发展智能、防御、检测、响应和操作，为信息技术和业务提供持续保护，并使安全建设更加有效和简单。http://www.sangfor.com.cn/product/net-safe.html

来源：罗马观察报