-
-
[原创]最近流行的GlobeImposter家族,勒索病毒分析
-
发表于: 2019-12-27 00:09
-
大概是生成密钥
将上段生成的密钥,追加到勒索文本后,从这得知生成的是用户个人ID
提升权限
获取所有用户配置文件(GetEnvironmentVariableW(allusersprofile))返回值为C:\ProgramData,创建C:\ProgramData\local目录
在目录C:\ProgramData\local\下 创建文件 .DF7ADA61E0284DDD4F1E,写入已下数据(内容暂时不知道什么作用),并设置隐藏。
- 自2018年8月21日起,多地发生GlobeImposter勒索病毒事件,此次攻击目标主要是开始远程桌面服务的服务器,攻击者通过暴力破解服务器密码,对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。不断出现新的版本和变种,今年七月,“十二主神”系列爆发,国内多个行业深受威胁。时至今日,暂无解密工具。
VirusTotal
- 上传到VirusTotal检测一下,大部分引擎都标注出这是 GlobeImposter家族的勒索病毒。
样本基本信息
- 发现有自启动、以及遍历加密文件的操作
- 根据链接器版本猜测是 vs2017写的程序
感染迹象
详细分析
- 首先申请空间,获取自身路径,拼接路径
"C:\Users\15pb-win7\Desktop\勒索病毒样本Ransom.Globelmposter.x\ids.txt"
- 生成字符串
DF7ADA61E0284DDD4F1E
- 把字符串
Aphrodite666和字符串HOW TO BACK YOUR FILES.txt,以及获取的计算机名称,和字符串local进行拼接。
-
大概是生成密钥
-
将上段生成的密钥,追加到勒索文本后,从这得知生成的是用户个人ID
-
提升权限
-
获取所有用户配置文件(
GetEnvironmentVariableW(allusersprofile))返回值为C:\ProgramData,创建C:\ProgramData\local目录 -
在目录
C:\ProgramData\local\下 创建文件.DF7ADA61E0284DDD4F1E,写入已下数据(内容暂时不知道什么作用),并设置隐藏。 - 打开 Homegroup注册表项,并设置
DisableHomeGroup的值为1 .作用是禁用家庭组
- 利用注册表,禁用 ·WindowsDefender·以及相应的实时监控保护等。
- 打开注册表键
RunOnce(只会运行一次),创建名为"WindowsUpdateCheck"的启动项,混淆成Windows更新。路径为样本所在路径。
- 使用cmd执行bat脚本,大概执行了删除磁盘卷影,停止一些数据库的服务,停止报告服务器之类的操作
- 获取驱动器卷的名称(GUID),和驱动器盘符。
- 会给每个磁盘创建线程
-每个盘符都 生成用户ID,长度 417h,追加到勒索文本后
- 又创建线程,作用是遍历磁盘,加密文件。
- 在各个盘符根目录下创建文件
".DF7ADA61E0284DDD4F1E"
- 遍历文件如果不是下列文件
然后比较其后缀不为dll、lnk、ini、.sys的话
- 打开文件获取文件句柄,创建文件映射对象,然后进行加密。
- 在内存中加密完成后,停止文件映射,此时已经加密完成。
- 加密完拼接 文件名与
Aphrodite666后缀,然后更改名称。
- 然后在自己路径下创建了一个
ids.txt文件,查看其内容应该是保存了一些调试信息和本机生成用户ID。
- 枚举当前网络中所有的网络资源
- 删除自己创建的注册表启动项
"WindowsUpdateCheck"
- 再次使用cmd 执行 bat脚本,大致也是删除卷影,删除日志等操作
- 删除自身
防范措施
- 安装杀毒软件,保持监控开启。
- 不主动点击莫名邮件以及陌生exe。
- 及时更新系统,关闭不必要的文件共享,以及端口
一些问题
对病毒密钥的使用生成以及加密解密部分没有做具体分析,因为暂时没有什么好的思路,有很多解密的字符不知道他的具体用处,只知道勒索病毒的流程一般是利用他的RSA公钥,去加密用户电脑生成的密钥。
VirusTotal
样本基本信息
感染迹象
详细分析
"C:\Users\15pb-win7\Desktop\勒索病毒样本Ransom.Globelmposter.x\ids.txt"
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
微步 |
