Globelmposter4.0最新变种,2018年最后一发!

栏目: 编程工具 · 发布时间: 5年前

内容简介:Globelmposter家族首次出现在2017年5月份,2018年2月全国各大医院受Globelmposter2.0勒索病毒攻击,导致医院系统被加密,严重影响了医院的正常业务,此勒索病毒在今年8月份变种出Globelmposter3.0版本,导致全国多家法院等政企事业单位被勒索加密。此次,在2018年12月份,深信服EDR安全团队又第一时间跟踪发现一例新的Globelmposter勒索病毒变种,加密后缀”.fuck”。Globelmposter勒索病毒今年的安全威胁热度一直居高不下,攻击手法极其丰富,可以

一、样本简介

Globelmposter家族首次出现在2017年5月份,2018年2月全国各大医院受Globelmposter2.0勒索病毒攻击,导致医院系统被加密,严重影响了医院的正常业务,此勒索病毒在今年8月份变种出Globelmposter3.0版本,导致全国多家法院等政企事业单位被勒索加密。

此次,在2018年12月份,深信服EDR安全团队又第一时间跟踪发现一例新的Globelmposter勒索病毒变种,加密后缀”.fuck”。

Globelmposter勒索病毒今年的安全威胁热度一直居高不下,攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化,Globelmposter2.0后缀:TECHNO、DOC、CHAK、FREEMAN、TRUE,ALC0、ALC02、ALC03、RESERVE等。Globelmposter3.0变种后缀为以*4444结尾,Globelmposter3.0家族的变种,采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,文件被加密后会被加上Ox4444、China4444、Help4444、Rat4444 、Tiger4444 、Rabbit4444 、Dragon4444 、Snake4444 、Horse4444、Goat4444 、Monkey4444 、Rooster4444、Dog4444等后缀。在被加密的目录下会生成一个名为“HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。

深信服EDR安全团队一直持续关注并跟踪此勒索病毒家族,多次发布此勒索病毒相应的预警报告,如下:

Globelmposter勒索样本分析报告

https://mp.weixin.qq.com/s/iy9bGvS8ls2eBM2J_gCDXA

紧急预警:Globelmposter勒索最新变种爆发,用户怒怼黑客!

https://mp.weixin.qq.com/s/Rx3QCJZ5cqWayBOwuO82lg

紧急预警:Globelmposter再爆3.0变种,大型医院已中招

https://mp.weixin.qq.com/s/nm_B04qDr6TGv-qmU5t6FQ

此次深信服EDR安全团队又第一时间跟踪发现一例新的Globelmposter勒索病毒变种,样本编译时间为2018年12月5号,可能是此勒索病毒的最新变种,如下所示:

Globelmposter4.0最新变种,2018年最后一发!

二、详细分析

1.样本经过多层payload解密,运行后先弹出控制台窗口输出几组随机数对,并且创建窗口以混淆视听:

Globelmposter4.0最新变种,2018年最后一发!

在创建窗体的代码中隐藏了解密payload的代码,通过virtualalloc函数申请内存,随后解密出第一层payload代码,如下所示:

Globelmposter4.0最新变种,2018年最后一发!

第一层payload解密出第二层payload代码,如下所示:

Globelmposter4.0最新变种,2018年最后一发!

第二层payload代码循环解密核心的PE代码,如下所示:

Globelmposter4.0最新变种,2018年最后一发!

并将解密出来的PE文件内容替换到当前进程内存:

Globelmposter4.0最新变种,2018年最后一发!

然后跳转到被替代的当前进程,执行加密勒索操作,如下所示:

Globelmposter4.0最新变种,2018年最后一发!

2.样本在”HKEY_CURRENT_USER\Software\FUCK”下创建注册表项PERSONALID保存用户ID:

Globelmposter4.0最新变种,2018年最后一发!

并设置自启动注册表项:

Globelmposter4.0最新变种,2018年最后一发!

添加后的自启动项,如下所示:

Globelmposter4.0最新变种,2018年最后一发!

3.进行加密之前,样本先遍历进程列表,查找并终止以下进程:

Globelmposter4.0最新变种,2018年最后一发!

相应的进程列表,如下所示:

teamviewer、 sql 、google、cloud、photoshop、torrent、backup等。

4.启动cmd执行删除卷影副本的命令:

Globelmposter4.0最新变种,2018年最后一发!

5.获取所有驱动器并判断类型:

Globelmposter4.0最新变种,2018年最后一发!

6.遍历磁盘加密文件,跳过文件后缀为dll、htm、lnk、ini、exe、fuck、gsg的文件:

Globelmposter4.0最新变种,2018年最后一发!

跳过”Program Files”和”Windows”目录:

Globelmposter4.0最新变种,2018年最后一发! Globelmposter4.0最新变种,2018年最后一发!

在每个目录下释放勒索信息文件”README_BACK_FILES.htm”:

Globelmposter4.0最新变种,2018年最后一发!

相应的勒索信息超文本文件,如下所示:

Globelmposter4.0最新变种,2018年最后一发! Globelmposter4.0最新变种,2018年最后一发!

7.样本使用了AES+RSA的方式对文件进行加密,首先生成AES密钥:

Globelmposter4.0最新变种,2018年最后一发!

使用RSA公钥对AES密钥进行加密:

Globelmposter4.0最新变种,2018年最后一发!

再使用AES加密文件,并重命名文件,添加加密后缀”.fuck”:

Globelmposter4.0最新变种,2018年最后一发!

加密之后的文件,如下所示:

Globelmposter4.0最新变种,2018年最后一发!

8.加密完成后释放bat文件进行自删除:

Globelmposter4.0最新变种,2018年最后一发!

三、解决方案

深信服EDR产品能有效检测及防御此类勒索病毒家族样本及其变种,如下所示:

Globelmposter4.0最新变种,2018年最后一发!

深信服EDR安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1.不要点击来源不明的邮件附件,不从不明网站下载软件。

2.及时给主机打补丁(永恒之蓝漏洞补丁),修复相应的高危漏洞。

3.对重要的数据文件定期进行非本地备份。

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等。

5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码。

6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能。

*本文作者:千里目安全实验室,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

DOM Scripting

DOM Scripting

Jeremy Keith / friendsofED / 2010-12 / GBP 27.50

There are three main technologies married together to create usable, standards-compliant web designs: XHTML for data structure, Cascading Style Sheets for styling your data, and JavaScript for adding ......一起来看看 《DOM Scripting》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具