内容简介:朋友微信发来一张照片咨询我中了哪个勒索病毒家族,如下所示:勒索提示信息,如下所示:
朋友微信发来一张照片咨询我中了哪个勒索病毒家族,如下所示:
勒索提示信息,如下所示:
此勒索病毒为Globelmposter2.0家族最新的变种,近期比较流行,多家企业感染中招……
Globelmposter勒索病毒首次出现是在2017年5月份,主要通过钓鱼邮件进行传播,2018年2月国内各大医院爆发Globelmposter变种样本,通过溯源分析发现此勒索病毒可能是通过RDP爆破、社会工程等方式进行传播,此勒索病毒采用RSA2048加密算法,Globelmposter2.0使用的加密后缀列表为:
TRUE、FREEMAN、CHAK、TECHNO、DOC、ALC0、ALC02、ALC03
RESERVE等
2018年8月份此勒索病毒出现Globelmposter3.0变种样本,再次大范围攻击国内多个政企事业单位,Globelmposter3.0使用了十二生肖英文名+4444的加密后缀,如下所示:
Ox4444、Snake4444、Rat4444、
Tiger4444、Rabbit4444、Dragon4444、
Horse4444、Goat4444 、Monkey4444 、
Rooster4444 、Dog4444 、Pig4444
所以Globelmposter3.0勒索病毒俗称”十二生肖勒索病毒”
十二生肖变种之后,Globelmposter又爆发出几个不同版本的变种,我详细分析过此勒索病毒五六个不同变种版本,Globelmposter是现在国内最流行的勒索病毒家族之一,主要攻击国内的各个政企事业单位……
之前Globelmposter2.0生成的勒索信息文件为how_to_back_files.html,
此次流行的Globelmposer2.0变种样本加密主机之后,生成勒索信息文件名变为了decrypt_files.html,如下所示:
加密后的文件后缀名为{ Killserver@protonmail.com }KSR,如下所示:
还有几个这款Globelmposter2.0最新变种样本的加密后缀,如下所示:
{ HulkHoganZTX@protonmail.com }ZT
{ CALLMEGOAT@PROTONMAIL.COM }CMG
{ Killback@protonmail.com }KBK
如果你的企业感染了勒索病毒,发现加密后的文件后缀为上面这些后缀名,则可能感染了Globelmpsoter2.0勒索病毒最新的变种
勒索病毒核心技术剖析
朋友后面发来了他们捕获到的病毒样本,经过逆向分析发现就是此次流行的Globelmposter2.0的最新变种样本,此勒索病毒最新变种样本与之前分析过的Globelmposter2.0样本主体功能代码框架基本一致,如下所示:
将这款Globelmposter2.0最新变种样本与之前Globelmposter2.0样本进行代码对比分析,如下所示:
发现此勒索病毒最新变种与之前样本代码相似度达到98%以上,可以认定为同一个勒索病毒家族,属于Globelmposter2.0最新的变种家族
勒索病毒解密生成加密文件的后缀名{ Killserver@protonmail.com }KSR,如下所示:
生成勒索信息文件名变为了decrypt_files.html,如下所示:
并在内存中解密生成用户唯一ID字符串,如下所示:
最后使用RSA加密算法遍历磁盘文件进行加密操作,此勒索病毒变种的其它病毒行为与之前Globelmposter2.0勒索病毒行为一致,都会拷贝自身到相应的目录,设置自启动注册表项,删除磁盘卷影,RDP连接,清理日志,以及加密完成之后进行自删除等操作
通过大量的溯源分析,发现的此勒索病毒主要通过RDP爆破的方式攻击相关主机,然后在被攻击的主机内网中使用相关的黑客 工具 对内网中的其它机器进行传播感染
最近几年勒索病毒爆发,尤其是针对企业的勒索病毒攻击越来越多,关于勒索病毒的防护,给大家分享几个简单的方法,通过这些方法可以有效的防御部分勒索病毒:
1、及时给电脑打补丁,修复漏洞
2、谨慎打开来历不明的邮件,点击其中链接或下载附件,防止网络挂马和邮件附件攻击
3、尽量不要点击office宏运行提示,避免来自office组件的病毒感染
4、需要的软件从正规(官网)途径下载,不要用双击方式打开.js、.vbs、.bat等后缀名的脚本文件
5、升级防病毒软件到最新的防病毒库,阻止已知病毒样本的攻击
6、开启Windows Update自动更新设置,定期对系统进行升级
7、养成良好的备份习惯,对重要的数据文件定期进行非本地备份,及时使用网盘或移动硬盘备份个人重要文件
8、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃,黑客会通过相同的弱密码攻击其它主机
9、如果业务上无需使用RDP的,建议关闭RDP,以防被黑客RDP爆破攻击
本文转自: CyberThreatAnalyst
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 警惕Rapid勒索病毒新变种
- 勒索病毒(CrySiS家族)最新变种分析
- 深度解析勒索病毒GlobeImposter3.0变种
- KrakenCryptor2.0.7勒索变种来袭
- Matrix勒索病毒PRCP变种侵入政企单位
- “侠盗”勒索病毒V5.3新变种全面剖析
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
The Zen of CSS Design
Dave Shea、Molly E. Holzschlag / Peachpit Press / 2005-2-27 / USD 44.99
Proving once and for all that standards-compliant design does not equal dull design, this inspiring tome uses examples from the landmark CSS Zen Garden site as the foundation for discussions on how to......一起来看看 《The Zen of CSS Design》 这本书的介绍吧!
