【紧急预警】“十二主神”勒索病毒2.0全新升级,明显针对中国大陆

GlobeImposter勒索病毒“十二主神”出现全新升级,我们将其命名为GlobeImposter勒索病毒“十二主神”2.0版本,截止目前国内已有多家企业遭到攻击,蒙受巨大损失!

截止目前,已经出现了Hermes865、Hades865、Apollon865等加密后缀的变种。

此前,我们于今年7月率先披露了GlobeImposter勒索病毒“十二主神”变种,其加密后修改文件后缀为“希腊十二主神 + 666”,其后在两个月的时间内,1.0版本的“十二主神”已经逐步释放完毕,目前已给全国多个省份企业用户及政府医疗教育单位造成了很大冲击,变种包括Zeus666、Poseidon666、Apollo666、Artemis666、Ares666、Aphrodite666、Dionysus666、Persephone666、Hephaestus666、Hades666、Demeter666、Hera666。

在1.0版本的“十二主神”仍然肆虐的情况下,GlobeImposter勒索病毒运营团伙研发出了“十二主神”2.0版本,不仅将加密后缀调整为“希腊十二主神 + 865”的形式(类似Hermes865、Hades865、Apollon865),更是明显针对中国大陆用户更新了具有中文说明的勒索信息界面,并且从原来的TXT文件升级成为EXE程序,添加到注册表自启动:

尽管做了很多改动,但其仍然沿用了与1.0版本相同的邮箱Sin_Eater.666@aol.com,再加上样本与1.0高度相似,由此判断2.0版本是同一个团伙所为:

另外我们发现,该勒索目前似乎也处于调试阶段,病毒加密后会在同目录下释放一个ids.txt,用于存放ID和打印错误信息:

详细分析

该病毒运行后首先会创建勒索信息文件“HOW TO BACK YOUR FILES.exe”到各个目录。然后,关闭家庭组,关闭Windows defender。

接着病毒会创建自启动项,并且命名为”WindowsUpdateCheck”,通过执行cmd命令删除磁盘卷影、停止数据库服务,遍历卷并将其挂载,遍历磁盘文件:

在病毒加密文件后,复制勒索信息文件到被加密的目录:

最后,病毒执行cmd命令删除远程桌面连接信息、清除系统日志,进行自删除处理。

解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。玄蜂安全团队提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。