Globelmposter4.0最新变种,2018年最后一发!

栏目: 编程工具 · 发布时间: 5年前

内容简介:Globelmposter家族首次出现在2017年5月份,2018年2月全国各大医院受Globelmposter2.0勒索病毒攻击,导致医院系统被加密,严重影响了医院的正常业务,此勒索病毒在今年8月份变种出Globelmposter3.0版本,导致全国多家法院等政企事业单位被勒索加密。此次,在2018年12月份,深信服EDR安全团队又第一时间跟踪发现一例新的Globelmposter勒索病毒变种,加密后缀”.fuck”。Globelmposter勒索病毒今年的安全威胁热度一直居高不下,攻击手法极其丰富,可以

一、样本简介

Globelmposter家族首次出现在2017年5月份,2018年2月全国各大医院受Globelmposter2.0勒索病毒攻击,导致医院系统被加密,严重影响了医院的正常业务,此勒索病毒在今年8月份变种出Globelmposter3.0版本,导致全国多家法院等政企事业单位被勒索加密。

此次,在2018年12月份,深信服EDR安全团队又第一时间跟踪发现一例新的Globelmposter勒索病毒变种,加密后缀”.fuck”。

Globelmposter勒索病毒今年的安全威胁热度一直居高不下,攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化,Globelmposter2.0后缀:TECHNO、DOC、CHAK、FREEMAN、TRUE,ALC0、ALC02、ALC03、RESERVE等。Globelmposter3.0变种后缀为以*4444结尾,Globelmposter3.0家族的变种,采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,文件被加密后会被加上Ox4444、China4444、Help4444、Rat4444 、Tiger4444 、Rabbit4444 、Dragon4444 、Snake4444 、Horse4444、Goat4444 、Monkey4444 、Rooster4444、Dog4444等后缀。在被加密的目录下会生成一个名为“HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。

深信服EDR安全团队一直持续关注并跟踪此勒索病毒家族,多次发布此勒索病毒相应的预警报告,如下:

Globelmposter勒索样本分析报告

https://mp.weixin.qq.com/s/iy9bGvS8ls2eBM2J_gCDXA

紧急预警:Globelmposter勒索最新变种爆发,用户怒怼黑客!

https://mp.weixin.qq.com/s/Rx3QCJZ5cqWayBOwuO82lg

紧急预警:Globelmposter再爆3.0变种,大型医院已中招

https://mp.weixin.qq.com/s/nm_B04qDr6TGv-qmU5t6FQ

此次深信服EDR安全团队又第一时间跟踪发现一例新的Globelmposter勒索病毒变种,样本编译时间为2018年12月5号,可能是此勒索病毒的最新变种,如下所示:

Globelmposter4.0最新变种,2018年最后一发!

二、详细分析

1.样本经过多层payload解密,运行后先弹出控制台窗口输出几组随机数对,并且创建窗口以混淆视听:

Globelmposter4.0最新变种,2018年最后一发!

在创建窗体的代码中隐藏了解密payload的代码,通过virtualalloc函数申请内存,随后解密出第一层payload代码,如下所示:

Globelmposter4.0最新变种,2018年最后一发!

第一层payload解密出第二层payload代码,如下所示:

Globelmposter4.0最新变种,2018年最后一发!

第二层payload代码循环解密核心的PE代码,如下所示:

Globelmposter4.0最新变种,2018年最后一发!

并将解密出来的PE文件内容替换到当前进程内存:

Globelmposter4.0最新变种,2018年最后一发!

然后跳转到被替代的当前进程,执行加密勒索操作,如下所示:

Globelmposter4.0最新变种,2018年最后一发!

2.样本在”HKEY_CURRENT_USER\Software\FUCK”下创建注册表项PERSONALID保存用户ID:

Globelmposter4.0最新变种,2018年最后一发!

并设置自启动注册表项:

Globelmposter4.0最新变种,2018年最后一发!

添加后的自启动项,如下所示:

Globelmposter4.0最新变种,2018年最后一发!

3.进行加密之前,样本先遍历进程列表,查找并终止以下进程:

Globelmposter4.0最新变种,2018年最后一发!

相应的进程列表,如下所示:

teamviewer、 sql 、google、cloud、photoshop、torrent、backup等。

4.启动cmd执行删除卷影副本的命令:

Globelmposter4.0最新变种,2018年最后一发!

5.获取所有驱动器并判断类型:

Globelmposter4.0最新变种,2018年最后一发!

6.遍历磁盘加密文件,跳过文件后缀为dll、htm、lnk、ini、exe、fuck、gsg的文件:

Globelmposter4.0最新变种,2018年最后一发!

跳过”Program Files”和”Windows”目录:

Globelmposter4.0最新变种,2018年最后一发! Globelmposter4.0最新变种,2018年最后一发!

在每个目录下释放勒索信息文件”README_BACK_FILES.htm”:

Globelmposter4.0最新变种,2018年最后一发!

相应的勒索信息超文本文件,如下所示:

Globelmposter4.0最新变种,2018年最后一发! Globelmposter4.0最新变种,2018年最后一发!

7.样本使用了AES+RSA的方式对文件进行加密,首先生成AES密钥:

Globelmposter4.0最新变种,2018年最后一发!

使用RSA公钥对AES密钥进行加密:

Globelmposter4.0最新变种,2018年最后一发!

再使用AES加密文件,并重命名文件,添加加密后缀”.fuck”:

Globelmposter4.0最新变种,2018年最后一发!

加密之后的文件,如下所示:

Globelmposter4.0最新变种,2018年最后一发!

8.加密完成后释放bat文件进行自删除:

Globelmposter4.0最新变种,2018年最后一发!

三、解决方案

深信服EDR产品能有效检测及防御此类勒索病毒家族样本及其变种,如下所示:

Globelmposter4.0最新变种,2018年最后一发!

深信服EDR安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1.不要点击来源不明的邮件附件,不从不明网站下载软件。

2.及时给主机打补丁(永恒之蓝漏洞补丁),修复相应的高危漏洞。

3.对重要的数据文件定期进行非本地备份。

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等。

5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码。

6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能。

*本文作者:千里目安全实验室,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Domain-Driven Design Distilled

Domain-Driven Design Distilled

Vaughn Vernon / Addison-Wesley Professional / 2016-6-2 / USD 36.99

Domain-Driven Design (DDD) software modeling delivers powerful results in practice, not just in theory, which is why developers worldwide are rapidly moving to adopt it. Now, for the first time, there......一起来看看 《Domain-Driven Design Distilled》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具