背景介绍

• 自2018年8月21日起，多地发生GlobeImposter勒索病毒事件，此次攻击目标主要是开始远程桌面服务的服务器，攻击者通过暴力破解服务器密码，对内网服务器发起扫描并人工投放勒索病毒，导致文件被加密。不断出现新的版本和变种，今年七月，“十二主神”系列爆发，国内多个行业深受威胁。时至今日，暂无解密工具。
  
  

  VirusTotal

• 上传到VirusTotal检测一下，大部分引擎都标注出这是 GlobeImposter家族的勒索病毒。
  

  样本基本信息

  

沙箱动态检测

• 发现有自启动、以及遍历加密文件的操作
  
• 根据链接器版本猜测是 vs2017写的程序
  

  感染迹象

  
  

  详细分析

• 首先申请空间，获取自身路径，拼接路径 "C:\Users\15pb-win7\Desktop\勒索病毒样本Ransom.Globelmposter.x\ids.txt"
  
• 生成字符串 DF7ADA61E0284DDD4F1E
  
• 把字符串 Aphrodite666和字符串HOW TO BACK YOUR FILES.txt,以及获取的计算机名称，和字符串 local进行拼接。
  
  

• 大概是生成密钥

  

• 将上段生成的密钥，追加到勒索文本后，从这得知生成的是用户个人ID
  

• 提升权限

  

• 获取所有用户配置文件（GetEnvironmentVariableW(allusersprofile)）返回值为C:\ProgramData，创建C:\ProgramData\local目录
  

• 在目录C:\ProgramData\local\下 创建文件 .DF7ADA61E0284DDD4F1E，写入已下数据（内容暂时不知道什么作用），并设置隐藏。
  
  

  

• 打开 Homegroup注册表项，并设置DisableHomeGroup的值为1 .作用是禁用家庭组
  
• 利用注册表，禁用 ·WindowsDefender·以及相应的实时监控保护等。
  
  
  
• 打开注册表键RunOnce（只会运行一次）,创建名为 "WindowsUpdateCheck"的启动项，混淆成Windows更新。路径为样本所在路径。
  
  
• 使用cmd执行bat脚本，大概执行了删除磁盘卷影，停止一些数据库的服务，停止报告服务器之类的操作
  
• 获取驱动器卷的名称（GUID），和驱动器盘符。
  
• 会给每个磁盘创建线程
  -每个盘符都 生成用户ID,长度 417h,追加到勒索文本后
  
  
• 又创建线程，作用是遍历磁盘，加密文件。
  
• 在各个盘符根目录下创建文件".DF7ADA61E0284DDD4F1E"
  
• 遍历文件如果不是下列文件
  
  然后比较其后缀不为 dll、lnk、ini、.sys的话
  
• 打开文件获取文件句柄，创建文件映射对象，然后进行加密。
  
  
  
• 在内存中加密完成后，停止文件映射，此时已经加密完成。
  
• 加密完拼接 文件名与Aphrodite666后缀，然后更改名称。
  
• 然后在自己路径下创建了一个ids.txt文件，查看其内容应该是保存了一些调试信息和本机生成用户ID。
  
  
• 枚举当前网络中所有的网络资源
  
• 删除自己创建的注册表启动项 "WindowsUpdateCheck"
  
• 再次使用cmd 执行 bat脚本，大致也是删除卷影，删除日志等操作
  
• 删除自身
  

  防范措施

• 安装杀毒软件，保持监控开启。
• 不主动点击莫名邮件以及陌生exe。
• 及时更新系统，关闭不必要的文件共享，以及端口

  一些问题

  对病毒密钥的使用生成以及加密解密部分没有做具体分析，因为暂时没有什么好的思路，有很多解密的字符不知道他的具体用处，只知道勒索病毒的流程一般是利用他的RSA公钥，去加密用户电脑生成的密钥。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课