新型勒索病毒hospit来袭,国内多家医疗机构已受影响-腾博游戏官网手机版

腾博游戏官网手机版-腾博游戏官网手机版
新闻中心

新闻中心  >  新型勒索病毒hospit来袭,国内多家医疗机构已受影响
新型勒索病毒hospit来袭,国内多家医疗机构已受影响
背景图 2020-12-17 00:00:00

近日,深信服安全团队检测到一种全新的勒索病毒正在活跃,攻击者主要针对医疗行业进行攻击,截止目前国内已发现多起医疗机构感染案例。该病毒会将数据库、文档等重要文件进行加密,目前无法解密,严重危害业务安全,建议提高警惕,及时防范。该勒索病毒加密文件后缀为.guanhospit,深信服安全团队将其命名为 hospit家族

病毒名称:hospit 家族
病毒性质:勒索病毒
影响范围:目前国内多家医疗机构感染
危害等级:高危
传播方式:通过rdp暴力破解入侵

勒索特征

通过分析发现该勒索病毒无主动传播行为,主要是通过rdp暴力破解后人工上传黑客工具及勒索病毒,其中 hospit.exe 为勒索病毒文件,其余为黑客工具,用于结束安全软件及关闭防火墙等。

该勒索病毒主要针对医疗行业进行攻击,一旦入侵成功,会将目标对象的数据库、文档等重要文件加密,并进行勒索,加密后的文件目前无法解密。

勒索信息:

医疗行业具有很大的业务紧迫性,尤其在严防疫情的形势下,一旦被勒索,将导致业务中断,造成不可估量的损失。因此,部分医疗行业的受害者为了快速恢复业务,只能选择给攻击者支付赎金。

样本分析

攻击者使用了今年11月份最新的c#混淆工具smartassembly 7.5.1.4370对样本进行混淆处理,并加入了反调试手段,会关闭用于病毒分析的工具:

将病毒文件复制到系统自启动目录:

生成勒索信息,内容为当前主机ip、加密公钥和被加密的时间:

遍历磁盘对文件进行加密:

加密后添加文件后缀guanhospit:

腾博游戏官网手机版的解决方案

企业系统脆弱性是企业被勒索病毒入侵的根本原因,很多企业内网核心服务器存在漏洞、弱密码、高危端口暴露等诸多安全风险,给了黑客可乘之机。另外,勒索病毒可在短时间内威胁用户核心业务资产,当勒索病毒事件发生时,必须进行争分夺秒的事件响应,将勒索病毒的危害迅速降到最低。

通常,勒索病毒的攻击流程包含利用各种手段突破外网边界、进入内网后在内网进行病毒投放、在关键系统上进行加密勒索,并在重要服务器或内网之间实现横向传播。

基于此,深信服提出了勒索病毒防护腾博游戏官网手机版的解决方案,针对勒索病毒的攻击特征和方式,通过拦截、查杀、监测、处置四个阶段对勒索病毒进行精准、快速的闭环处置,帮助用户打造集防御、检测、响应于一体的整体安全防御体系。

深信服安全团队提醒大家:

针对已经出现勒索感染的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离,同时做好病毒检测与防御措施,防范该病毒的勒索攻击。

病毒检测查杀

深信服edr产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:

深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

64位系统下载链接:
https://edr.sangfor.com.cn/tool/sfabantibot_x64.7z

32位系统下载链接:
https://edr.sangfor.com.cn/tool/sfabantibot_x86.7z

病毒防御

及时给电脑打补丁,修复漏洞。

对重要的数据文件定期进行非本地备份。

不要点击来源不明的邮件附件,不从不明网站下载软件。

尽量关闭不必要的文件共享权限。

更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

如果业务上无需使用rdp的,建议关闭rdp。当出现此类事件时,推荐使用深信服下一代防火墙,或者终端检测响应平台(edr)的微隔离功能对3389等端口进行封堵,防止扩散!

深信服下一代防火墙、终端检测响应平台(edr)均有防爆破功能,下一代防火墙开启此功能并启用11080051、11080027、11080016规则,edr开启防爆破功能可进行防御。

深信服下一代防火墙用户,建议升级到af805版本,并开启save安全智能检测引擎,以达到最好的防御效果。

使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁

咨询与服务

您可以通过以下方式联系腾博游戏官网手机版,获取免费咨询及支持服务:

拨打电话400-630-6430转6号线(已开通勒索病毒专线);

关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询;

pc端访问深信服区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询。

网站地图