勒索不断!Globelmposter2.0最新变种再度来袭

栏目: 编程工具 · 发布时间: 5年前

内容简介:朋友微信发来一张照片咨询我中了哪个勒索病毒家族,如下所示:勒索提示信息,如下所示:

朋友微信发来一张照片咨询我中了哪个勒索病毒家族,如下所示:

勒索不断!Globelmposter2.0最新变种再度来袭

勒索提示信息,如下所示:

勒索不断!Globelmposter2.0最新变种再度来袭

此勒索病毒为Globelmposter2.0家族最新的变种,近期比较流行,多家企业感染中招……

Globelmposter勒索病毒首次出现是在2017年5月份,主要通过钓鱼邮件进行传播,2018年2月国内各大医院爆发Globelmposter变种样本,通过溯源分析发现此勒索病毒可能是通过RDP爆破、社会工程等方式进行传播,此勒索病毒采用RSA2048加密算法,Globelmposter2.0使用的加密后缀列表为:

TRUE、FREEMAN、CHAK、TECHNO、DOC、ALC0、ALC02、ALC03

RESERVE等

2018年8月份此勒索病毒出现Globelmposter3.0变种样本,再次大范围攻击国内多个政企事业单位,Globelmposter3.0使用了十二生肖英文名+4444的加密后缀,如下所示:

Ox4444、Snake4444、Rat4444、

Tiger4444、Rabbit4444、Dragon4444、

Horse4444、Goat4444 、Monkey4444 、

Rooster4444 、Dog4444 、Pig4444

所以Globelmposter3.0勒索病毒俗称”十二生肖勒索病毒”

十二生肖变种之后,Globelmposter又爆发出几个不同版本的变种,我详细分析过此勒索病毒五六个不同变种版本,Globelmposter是现在国内最流行的勒索病毒家族之一,主要攻击国内的各个政企事业单位……

之前Globelmposter2.0生成的勒索信息文件为how_to_back_files.html,

此次流行的Globelmposer2.0变种样本加密主机之后,生成勒索信息文件名变为了decrypt_files.html,如下所示:

勒索不断!Globelmposter2.0最新变种再度来袭

勒索不断!Globelmposter2.0最新变种再度来袭

加密后的文件后缀名为{ Killserver@protonmail.com }KSR,如下所示:

勒索不断!Globelmposter2.0最新变种再度来袭

还有几个这款Globelmposter2.0最新变种样本的加密后缀,如下所示:

{ HulkHoganZTX@protonmail.com }ZT

{ CALLMEGOAT@PROTONMAIL.COM }CMG

{ Killback@protonmail.com }KBK

如果你的企业感染了勒索病毒,发现加密后的文件后缀为上面这些后缀名,则可能感染了Globelmpsoter2.0勒索病毒最新的变种

勒索病毒核心技术剖析

朋友后面发来了他们捕获到的病毒样本,经过逆向分析发现就是此次流行的Globelmposter2.0的最新变种样本,此勒索病毒最新变种样本与之前分析过的Globelmposter2.0样本主体功能代码框架基本一致,如下所示:

勒索不断!Globelmposter2.0最新变种再度来袭

将这款Globelmposter2.0最新变种样本与之前Globelmposter2.0样本进行代码对比分析,如下所示:

勒索不断!Globelmposter2.0最新变种再度来袭

发现此勒索病毒最新变种与之前样本代码相似度达到98%以上,可以认定为同一个勒索病毒家族,属于Globelmposter2.0最新的变种家族

勒索病毒解密生成加密文件的后缀名{ Killserver@protonmail.com }KSR,如下所示:

勒索不断!Globelmposter2.0最新变种再度来袭

生成勒索信息文件名变为了decrypt_files.html,如下所示:

勒索不断!Globelmposter2.0最新变种再度来袭

并在内存中解密生成用户唯一ID字符串,如下所示:

勒索不断!Globelmposter2.0最新变种再度来袭

最后使用RSA加密算法遍历磁盘文件进行加密操作,此勒索病毒变种的其它病毒行为与之前Globelmposter2.0勒索病毒行为一致,都会拷贝自身到相应的目录,设置自启动注册表项,删除磁盘卷影,RDP连接,清理日志,以及加密完成之后进行自删除等操作

通过大量的溯源分析,发现的此勒索病毒主要通过RDP爆破的方式攻击相关主机,然后在被攻击的主机内网中使用相关的黑客 工具 对内网中的其它机器进行传播感染

最近几年勒索病毒爆发,尤其是针对企业的勒索病毒攻击越来越多,关于勒索病毒的防护,给大家分享几个简单的方法,通过这些方法可以有效的防御部分勒索病毒:

1、及时给电脑打补丁,修复漏洞

2、谨慎打开来历不明的邮件,点击其中链接或下载附件,防止网络挂马和邮件附件攻击

3、尽量不要点击office宏运行提示,避免来自office组件的病毒感染

4、需要的软件从正规(官网)途径下载,不要用双击方式打开.js、.vbs、.bat等后缀名的脚本文件

5、升级防病毒软件到最新的防病毒库,阻止已知病毒样本的攻击

6、开启Windows Update自动更新设置,定期对系统进行升级

7、养成良好的备份习惯,对重要的数据文件定期进行非本地备份,及时使用网盘或移动硬盘备份个人重要文件

8、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃,黑客会通过相同的弱密码攻击其它主机

9、如果业务上无需使用RDP的,建议关闭RDP,以防被黑客RDP爆破攻击

本文转自: CyberThreatAnalyst


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

个体与交互

个体与交互

Ken Howard、Barry Rogers / 贾永娜、张凯峰 / 机械工业出版社华章公司 / 2012-3-20 / 45.00元

对敏捷软件开发的关注重点,通常都集中在“机制”方面,即过程和工具。“敏捷宣言”认为,个体与交互的价值要高于过程和工具,但这一点很容易被遗忘。在敏捷开发中,如果你重新将注意力放在人的方面,将会收获巨大利益。 本书展示了如何解决敏捷团队在实际项目中遭遇的问题。同时,本书也是很有实用价值的敏捷用户指南,其中包含的故事、最佳实践方法、经验以及技巧均可应用到实际项目当中。通过逐步实践,你将学会如何让团......一起来看看 《个体与交互》 这本书的介绍吧!

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

html转js在线工具
html转js在线工具

html转js在线工具