Globelmposter勒索病毒出现最新变种

2019年7月15日,江民公司报告,近日发现Globelmposter勒索病毒又出现最新变种,该变种被命名为十二主神版本。该恶意程序加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等。该勒索病毒变种影响范围涉及不同行业,覆盖行业有医疗、政府、能源、贸易等,其中医疗行业受该病毒影响最大。该勒索病毒变种通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索。首先,此勒索病毒为了保证正常运行,先关闭了 Windows defender。然后创建自启动项,启动项命名为 WindowsUpdateCheck。通过执行cmd命令删除磁盘卷影、停止数据库服务。同时,对磁盘文件进行遍历,排除对非加密文件及目录后,对其余文件进行加密操作,加密后缀名为Ares666,生成勒索信息文件 HOW TO BACK YOUR FILES.txt。在加密完成以后,删除自启动项,执行cmd命令删除磁盘卷影、删除远程桌面连接信息、清除系统日志。最后,病毒文件进行自删除处理。