3月11日，我们发现Globelmposter勒索病毒3.0变种再次席卷全国各地医院，受影响的系统，数据库文件被加密破坏，病毒将加密后的文件后缀改以*4444结尾，并要求用户通过邮件沟通赎金跟解密密钥。

经过分析发现，Globelmposter勒索病毒3.0主要攻击手段是采用RSA加密算法加密本地磁盘下的所有文件，如果想要解密文件必须获取病毒作者手中的私钥信息，这种病毒的危害性较大，现在暂无解密方法。中了这种病毒的主机的主要特征就是，文件名会被加上China4444、Help4444、Rat4444 、Tiger4444 、Rabbit4444 、Dragon4444 、Snake4444 等后缀，在被加密的文件夹下会生成一个名为”HOW_TO_BACK_FILES”的txt文档，记载着勒索信息及用户ID识别信息，用户需要将该ID发送给作者并支付一定数额的赎金方可获得解密程序，解锁被加密的数据文件。

病毒使用RSA秘钥，RSA秘钥的私钥在黑客手中，病毒程序会使用公钥对硬盘文件进行加密，私钥会生成用户ID，用户主机被感染后，想要恢复文件需要向攻击者提供用户ID和赎金。

攻击者获取到用户ID后，通过自身掌握的另一对秘钥对用户ID进行解密，用户获得秘钥才能对主机的文件进行解密。

这种加密方式暂时无法解密，后面会分析无法解密的原因。

详细的样本分析：

病毒执行后会先定位自身所在的文件目录，然后将自身复制到C:\Users\Administrator\AppData\Local目录

查看一下C:\Users\Administrator\AppData\Local目录

在C:\Users\Public\文件目录下写入一个文件，主要用于加密文件的公钥信息和用户ID信息，文件名为黑客公钥的hash值

00409B37函数为计算用户ID值的入口，从这里开始加密处理

我们跟入sub_40A102函数，发现在这里生成了随机rsa密钥对

这里是将用户密钥拼接上.Dragon4444,然后使用黑客公钥将用户密钥信息进行加密，函数409FCA是rsa加密算法入口函数。

sub_409FCA是rsa加密函数部分

在这里计算了用户ID

生成一个文件写入C:\Users\Public目录下，文件内容为：

上面一串为随机生成的rsa密钥对中的公钥信息，下面是用户ID.

计算出用户ID后将勒索信息和用户ID写入到HOW_TO_BACK_FILES.txt文件中

HOW_TO_BACK_FILES.txt文件中的内容

病毒程序通过操作注册表，添加一下表项，将病毒程序设置为开机自启。路径是：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck

病毒程序在sub_409610函数中对注册表项进行了添加操作

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)