事件说明
3月11日,我们发现Globelmposter勒索病毒3.0变种再次席卷全国各地医院,受影响的系统,数据库文件被加密破坏,病毒将加密后的文件后缀改以*4444结尾,并要求用户通过邮件沟通赎金跟解密密钥。
病毒分析
经过分析发现,Globelmposter勒索病毒3.0主要攻击手段是采用RSA加密算法加密本地磁盘下的所有文件,如果想要解密文件必须获取病毒作者手中的私钥信息,这种病毒的危害性较大,现在暂无解密方法。中了这种病毒的主机的主要特征就是,文件名会被加上China4444、Help4444、Rat4444 、Tiger4444 、Rabbit4444 、Dragon4444 、Snake4444 等后缀,在被加密的文件夹下会生成一个名为”HOW_TO_BACK_FILES”的txt文档,记载着勒索信息及用户ID识别信息,用户需要将该ID发送给作者并支付一定数额的赎金方可获得解密程序,解锁被加密的数据文件。
样本分析
病毒行为
病毒加密流程
病毒使用RSA秘钥,RSA秘钥的私钥在黑客手中,病毒程序会使用公钥对硬盘文件进行加密,私钥会生成用户ID,用户主机被感染后,想要恢复文件需要向攻击者提供用户ID和赎金。
攻击者获取到用户ID后,通过自身掌握的另一对秘钥对用户ID进行解密,用户获得秘钥才能对主机的文件进行解密。
这种加密方式暂时无法解密,后面会分析无法解密的原因。
详细的样本分析:
复制病毒文件到C盘目录
病毒执行后会先定位自身所在的文件目录,然后将自身复制到C:\Users\Administrator\AppData\Local目录
查看一下C:\Users\Administrator\AppData\Local目录
计算用户ID并写入到public目录下
在C:\Users\Public\文件目录下写入一个文件,主要用于加密文件的公钥信息和用户ID信息,文件名为黑客公钥的hash值
00409B37函数为计算用户ID值的入口,从这里开始加密处理
我们跟入sub_40A102函数,发现在这里生成了随机rsa密钥对
这里是将用户密钥拼接上.Dragon4444,然后使用黑客公钥将用户密钥信息进行加密,函数409FCA是rsa加密算法入口函数。
sub_409FCA是rsa加密函数部分
在这里计算了用户ID
生成一个文件写入C:\Users\Public目录下,文件内容为:
上面一串为随机生成的rsa密钥对中的公钥信息,下面是用户ID.
生成勒索信息文件
计算出用户ID后将勒索信息和用户ID写入到HOW_TO_BACK_FILES.txt文件中
HOW_TO_BACK_FILES.txt文件中的内容
创建注册表项,设置开机自启动
病毒程序通过操作注册表,添加一下表项,将病毒程序设置为开机自启。路径是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck
病毒程序在sub_409610函数中对注册表项进行了添加操作
对文件进行加密处理
下面是具体的加密过程:
首先病毒程序会通过GetDriveTpye函数判断受害者主机上的磁盘类型,这里根据编号3,2,4可以判断该病毒支持对硬盘、移动硬盘、网络硬盘进行加密。
循环遍历获取所有硬盘分区信息
接下来病毒程序会新建一个线程用于文件加密操作,其三个参数分别为:当前盘符路径,加密key,用户ID。
对线程函数进行跟踪后发现,这里调用了RSA加密函数,对文件进行加密,遍历分区下所有的文件(c:/*)使用RSA加密算法对文件进行加密,并修改文件扩展名为.Dargon4444
循环遍历所有文件,并对文件进行加密,修改后缀名。
这是rsa加密的具体位置
新建bat文件,清除登入日志
病毒程序在加密结束后会在tmp目录下生成一个bat文件,用于清除远程登入日志
下面是创建生成bat文件的位置
病毒文件自删除
病毒程序在结束进程前会删除自身文件
函数sub_4094F5处的代码
无法解密的原因
因为病毒程序在加密硬盘文件的时候使用的是随机生成的rsa密钥进行加密的,并且使用了黑客的另一个rsa公钥对这对随机生成的rsa密钥进行加密,由于用户密钥被加密,只有用黑客的私钥才能够解密用户密钥,获取用户私钥,解密文件。
入侵方式
1.通过服务器漏洞进行植入,如JBOSS漏洞(CVE-2017-12149、CVE-2010-0738)、WebLogic漏洞(CVE-2017-10271)、Tomcat漏洞利用。
2.通过服务器弱密码攻击植入,如RDP远程密码爆破。
2、水坑攻击,伪装成合法软件,诱导用户进行下载运行。
病毒防护
1.隔离感染主机
当发现某台主机感染Globelmposter3.0勒索病毒后,迅速隔离中毒主机,关闭所有网络连接,禁用网卡,可直接拔网线断网。
2.检查运行进程
由于病毒程序会加载到内存空间中运行,所以应先查看相关不明进程并结束相关病毒进程。
3.切断传播途径
Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议),如果业务上无需使用RDP的,建议关闭RDP。
在专网级联边界位置通过防火墙等设备建立访问控制策略,封堵入站的3389、445等端口,防止其他单位的横向、纵向攻击。
加固措施
1.更改默认administrator管理账户,禁用445等高危端口;
2.外网主机不应具备访问及修改内网主机数据的 权限;
3.期对重要文件进行异地备份,云服务要做好快照;
4.及时给电脑打补丁,修复漏洞;
5.如果要使用SMB服务器尽量设置较为复杂的密码,建议密码设置为字符串+特殊字符+数字,并且不要对公网开放,建议使用vpn
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课