病*名称:Hospit家族
病*性质:勒索病*
影响范围:目前国内多家医疗机构感染
危害等级:高危
传播方式:通过RDP暴力破解入侵
勒索特征
通过分析发现该勒索病*无主动传播行为,主要是通过RDP暴力破解后人工上传黑客工具及勒索病*,其中hospit.exe为勒索病*文件,其余为黑客工具,用于结束安全软件及关闭防火墙等。该勒索病*主要针对医疗行业进行攻击,一旦入侵成功,会将目标对象的数据库、文档等重要文件加密,并进行勒索,加密后的文件目前无法解密。
勒索信息:医疗行业具有很大的业务紧迫性,尤其在严防疫情的形势下,一旦被勒索,将导致业务中断,造成不可估量的损失。因此,部分医疗行业的受害者为了快速恢复业务,只能选择给攻击者支付赎金。
样本分析
攻击者使用了今年11月份最新的c#混淆工具SmartAssembly7.5.1.对样本进行混淆处理,并加入了反调试手段,会关闭用于病*分析的工具:将病*文件复制到系统自启动目录:生成勒索信息,内容为当前主机IP、加密公钥和被加密的时间:
遍历磁盘对文件进行加密:
加密后添加文件后缀guanhospit:
解决方案
企业系统脆弱性是企业被勒索病*入侵的根本原因,很多企业内网核心服务器存在漏洞、弱密码、高危端口暴露等诸多安全风险,给了黑客可乘之机。另外,勒索病*可在短时间内威胁用户核心业务资产,当勒索病*事件发生时,必须进行争分夺秒的事件响应,将勒索病*的危害迅速降到最低。
通常,勒索病*的攻击流程包含利用各种手段突破外网边界、进入内网后在内网进行病*投放、在关键系统上进行加密勒索,并在重要服务器或内网之间实现横向传播。
基于此,深信服提出了勒索病*防护解决方案,针对勒索病*的攻击特征和方式,通过拦截、查杀、监测、处置四个阶段对勒索病*进行精准、快速的闭环处置,帮助用户打造集防御、检测、响应于一体的整体安全防御体系。
深信服安全团队提醒大家:
针对已经出现勒索感染的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离,同时做好病*检测与防御措施,防范该病*的勒索攻击。
病*检测查杀
1、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病*检测能力,部署相关产品用户可进行病*检测,如图所示:
2、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
64位系统下载链接: