首页
社区
课程
招聘
[原创]Globelmposter勒索病毒变种家族史,看这篇就够了
发表于: 2019-8-7 14:52 5042

[原创]Globelmposter勒索病毒变种家族史,看这篇就够了

2019-8-7 14:52
5042

群里朋友发来一条求助信息,问是中了哪个家族的勒索病毒,后面发来了相关的勒索病毒勒索信息和样本,经过确认为Globelmposter4.0变种家族,笔者跟踪分析过不少勒索病毒家族,最近一两年针对企业的勒索病毒攻击,真的是越来越多了,基本上每天都会不同的朋友通过微信或公众号咨询我,求助勒索病毒相关的信息,同时很多朋友在后台给我留言关于勒索病毒的相关信息和样本,感谢大家的信任与支持,也欢迎更多的朋友给我提交关于勒索病毒的相关信息和样本,一起研究对抗勒索病毒攻击,针对企业的勒索病毒攻击在最近一段时间暴涨,此前我在公众号了发表过一篇文章《勒索不断!勒索病毒数量第二季度暴涨三倍》,目前国内外主要流行的几大勒索病毒家族分别是:Sodinokibi、GandCrab、Ryuk、Phobos、Globelmposter、CrySiS(Dharma)、CryptoMix、Paradise等,今天给大家分享一下Globelmposter这款勒索病毒家族的一些信息

Globelmposter勒索病毒首次出现是在2017年5月份,主要通过钓鱼邮件进行传播,2018年2月国内各大医院爆发Globelmposter变种样本2.0版本,通过溯源分析发现此勒索病毒可能是通过RDP爆破、社会工程等方式进行传播,此勒索病毒采用RSA2048加密算法,导致加密后的文件无法解密

Globelmposter2.0使用的加密后缀列表为:TRUE、FREEMAN、CHAK、TECHNO、DOC、ALC0、ALC02、ALC03、RESERVE、GRANNY、BUNNY+、BIG、ARA、WALKER、XX、BONUM、DONALD、FOST、GLAD、GORO、MIXI、RECT、SKUNK、SCORP、TRUMP、PLIN等,生成的超文本HTML勒索信息文件how_to_back_files.html,如下所示:


后面出现Globelmposter2.0变种使用的加密后缀列表为:

{killbillkill@protonmail.com}VC、{travolta_john@aol.com}ROCK

{travolta_john@aol.com}GUN、{colin_farel@aol.com}XX

{saruman7@india.com}.BRT92、[i-absolutus@bigmir.net].rose、

[lightright@bigmir.net].ransom、[bensmit@tutanota.com]_com

{jeepdayz@aol.com}BIT、{mixifightfiles@aol.com}BIT

{baguvix77@yahoo.com}.AK47、{colin_farel@aol.com}BIT

{legosfilos@aol.com}BIT、{lxgiwyl@india.com}.AK47

{omnoomnoomf@aol.com}BIT

生成的超文本勒索信息文件how_to_back_files.html,勒索背景采用红蓝两种模式,如下所示:



2019年5月份出现Globelmposter2.0最新的一款变种,代码与之前的Globelmposter2.0基本相似,使用的加密后缀列表为:

{HulkHoganZTX@protonmail.com}ZT

Killserver@protonmail.com}KSR

{CALLMEGOAT@PROTONMAIL.COM}CMG

{Killback@protonmail.com}KBK

生成的超文本勒索信息文件decrypt_files.html,如下所示:


2018年8月份此勒索病毒出现Globelmposter3.0变种样本,再次大范围攻击国内多个政企事业单位,Globelmposter3.0采用了十二生肖英文名+4444的加密后缀,列表如下所示:

Ox4444、Snake4444、Rat4444、

Tiger4444、Rabbit4444、Dragon4444、

Horse4444、Goat4444 、Monkey4444 、

Rooster4444 、Dog4444 、Pig4444

所以Globelmposter3.0勒索病毒俗称"十二生肖勒索病毒",生成的勒索信息文件变成了文本文件HOW_TO_BACK_FILES.txt,如下所示:


2019年1月份出现了一款新型的Globelmposter勒索病毒,称为Globelmposter4.0,此勒索病毒加密后缀为fuck等,生成的勒索信息超文本文件README_BACK_FILES.htm,如下所示:


2019年3月出现了此勒索病毒的变种,称为Globelmposter4.0变种,加密后缀为:auchentoshan、makkonahi,生成的勒索信息为超文本文件how_to_open_files.html,如下所示:


后面又捕获到了它的一款变种,代码基本一致,勒索信息仍然为how_to_open_files.html,如下所示:


最新的Globelmposter5.0变种版本为Globelmposter十二主神版,它采用了古希腊宗教中最受崇拜的十位主神+666的加密后缀,加密后缀列表,如下所示:

Ares666、Zeus666、Aphrodite666、Apollon666、Poseidon666、Artemis666、Dionysus666、Hades666、Persephone666、Hephaestus666、Hestia666、Athena666,生成的勒索信息文本文件HOW TO BACK YOURFILES.txt,如下所示:


此前全球最流行的勒索病毒是GandCrab,然而这款勒索病毒算是国内最流行的勒索病毒了,已经有不少企业中招,变种非常频繁,很活跃,笔者曾分析过这款索病毒的十几个不同的版本,这里只列举出几个比较大的而且流行的版本,很遗憾的是这款勒索病毒从2.0版本开始就无法解密,目前也没有哪个机构或组织公布这款勒索病毒的解密工具


最近几年勒索病毒爆发,尤其是针对企业的勒索病毒攻击越来越多,关于勒索病毒的防护,给大家分享几个简单的方法,通过这些方法可以有效的防御部分勒索病毒:

1、及时给电脑打补丁,修复漏洞

2、谨慎打开来历不明的邮件,点击其中链接或下载附件,防止网络挂马和邮件附件攻击

3、尽量不要点击office宏运行提示,避免来自office组件的病毒感染

4、需要的软件从正规(官网)途径下载,不要用双击方式打开.js、.vbs、.bat等后缀名的脚本文件

5、升级防病毒软件到最新的防病毒库,阻止已知病毒样本的攻击

6、开启Windows Update自动更新设置,定期对系统进行升级

7、养成良好的备份习惯,对重要的数据文件定期进行非本地备份,及时使用网盘或移动硬盘备份个人重要文件

8、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃,黑客会通过相同的弱密码攻击其它主机

9、如果业务上无需使用RDP的,建议关闭RDP,以防被黑客RDP爆破攻击


如果你想学习恶意样本分析,或者对恶意样本分析感兴趣,想与一些专业的安全分析师与漏洞研究专家交流,欢迎加入知识星球:安全分析与研究,知识星球会包含恶意样本分析的各种技术,从入门到精通,相关的内容可以参考之前发的文章,里面会涉及各种不同语言的逆向分析方法与调试技术,各种不同类型的恶意样本的分析技巧,包含Linux上的恶意样本分析实战、脱壳,进程注入,隐藏rootkit等技术,里面的很多内容都是我多年的实战经验与积累,将教你从搭建一个恶意样本的分析环境以及各种工具介绍入手,教你玩转恶意样本分析技术,不管你是web研究人员,渗透测试人员,威胁情报人员,应急响应人员,还是安全开发,安全产品规划从业者,或者是企业安全管理人员等,如果有兴趣学,想学习了解恶意样本分析技术的,赶紧加入进来吧(因为后面知识星球会涨价),创办知识星球就是为了帮助那些愿意花时间和金钱来学习提高自己的能力,投资自己的人......


加入知识星球的朋友,可以加我微信:pandazhengzheng,然后会拉你加入微信群:安全分析与研究,可以随时提供专业的安全咨询和指导,最近很多朋友跟我聊,说自己很迷茫,不知道该学什么,怎么学?未来安全的方向是什么?加入知识星球,进入微信群,可以相互讨论或提供一些专业的指导,帮助你少走一些弯路,因为我曾经也和你们一样,我很了解你们,知道你们在想什么,你们需要什么,我也走过很多弯路,但不管任何时候,我都没有放弃过努力,任何东西都需要花很多时间和精力深入研究,需要不断学习积累,你才会少一点迷茫,多一份自信!


最后还是感谢那些支持我的朋友们,多谢你们的关注、转发、赞赏以及留言,关注微信公众号:安全分析与研究 ,可扫描下方的二维码,会不定期分享更多精彩内容,因为专注、专业,所以与众不同!


安全的路很长,贵在坚持......


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 1
支持
分享
最新回复 (5)
雪    币: 220
活跃值: (721)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
涉及技术面的越来越少了
2019-8-7 15:57
1
雪    币: 27
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3
支持大佬
2019-8-7 16:00
0
雪    币: 26205
活跃值: (63302)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
4
顶一下~感谢分享~
2019-8-7 16:22
0
雪    币: 202
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
5
了解了解升级升级
2019-8-9 18:06
0
雪    币: 38
活跃值: (306)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
从这篇文章中,我只能看出来,这个家族史就是加密后缀和勒索提示页变了
2023-1-9 17:39
0
游客
登录 | 注册 方可回帖
返回
//