近日,深信服安全团队捕获到一种新型勒索病毒,加密文件后缀为.guanhospit。该勒索病毒具有很强的行业特征,截止至目前国内已发现多起感染案例,均为医疗单位。深信服安全团队将其命名为Hospit家族。
感染病毒后,会将数据库、文档等重要文件加密,其采用了非对称加密算法,加密后的文件目前无法解密。由于其主要针对医疗行业进行攻击,而该行业具有很大的业务紧迫性,并且当前国内出现疫情反复的情况,一旦被勒索,将导致业务中断,造成的损失不可估量,这又会导致这个行业的受害者为了快速恢复业务,而选择给黑客支付赎金的方式。
勒索信息:
分析发现病毒无主动传播行为,主要是通过RDP暴破后人工运行勒索病毒,如下为RDP入侵日志:
RDP暴破成功后,上传黑客工具及勒索病毒,如下,其中hospit.exe为勒索病毒文件,其余为黑客工具,用于结束安全软件及关闭防火墙等:
使用了今年11月份刚出的最新的c#的混淆SmartAssembly 7.5.1.4370
直接定位到main进行分析;
创建互斥变量,防止被多次运行,创建线程,来进行反调试以及反抓包:
只要进程名包含这些字符串,就会被终止:
将该病毒设置到startup下,通过base64解密出注册表:
首先收集父进程的所有PID,然后尝试杀死所有父进程
强制终止RaccinSettings.exe进程:taskkill /F /IM RaccineSettings.exe
删除注册表:reg delete HKCUSoftwareMicrosoftWindowsCurrentVersionRun /v "Raccine Tray" /F reg delete HKCUSoftwareRaccine /F
强制删除任务:schtasks /DELETE /TN "Raccine Rules updater" /F
强制删除 Recycle.bin文件,重新配置了防火墙:
cmd.exe", "/c rd /s /q %SYSTEMDRIVE%\\$Recycle.bin
netsh", "advfirewall firewall set rule group=\"Network Discovery\" new enable=Yes
netsh", "advfirewall firewall set rule group="File and Printer Sharing" new enable=Yes
通过rand生成随机密钥
主要将A-Z盘的路径下的文件进行加密:
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给系统和应用打补丁,修复常见高危漏洞;
2、对重要的数据文件定期进行非本地备份;
3、不要点击来源不明的邮件附件,不从不明网站下载软件;
4、尽量关闭不必要的文件共享权限;
5、更改主机账户和数据库密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;
6、如果业务上无需使用RDP的,建议关闭RDP功能,并尽量不要对外网映射RDP端口和数据库端口。
1.深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀;
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2.深信服安全感知平台、下一代防火墙、EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁;
3.深信服安全产品集成深信服SAVE人工智能检测引擎,拥有强大的泛化能力,精准防御未知病毒;
4.深信服推出安全运营服务,通过以”人机共智”关于的服务模式帮助用户快速提高安全能力。针对此类威胁,安全运营服务提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。
您可以通过以下方式联系我们,获取关于该勒索病毒的免费咨询及支持服务:
1、拨打电话400-630-6430转6号线(已开通勒索软件专线);
2、关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询;
3、PC端访问深信服社区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询。
本文始发于微信公众号(深信服千里目安全实验室):针对医院的新型勒索病毒Hospit曝光,疫情抬头期间更需关注信息安全!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论