首页
社区
课程
招聘
[原创]恶意样本分析学习—GlobeImposter3.0勒索病毒分析
发表于: 2020-6-5 16:13 6790

[原创]恶意样本分析学习—GlobeImposter3.0勒索病毒分析

2020-6-5 16:13
6790

      文件名 : svhost.exe
      文件大小 : 51712 字节
      MD5 : C120F323C78D046C991F0EFE45F3819C
      SHA1 : C6CBF8DD6DDA8388A6B5860A62091808E2B4D2BF

       GlobeImposter3.0是GlobeImposter家族的变种之一,2018年8月份该勒索病毒变种出现并攻击勒索国内多家大型医院和政企事业单位,GlobeImposter3.0的加密后缀为十二生肖英文名+4444,所以GlobeImposter3.0勒索病毒又被称为"十二生肖勒索病毒"。勒索病毒采用RSA加密文件,在加密目录下会生成勒索信息提示文件HOW_TO_BACK_FILES.txt,包含攻击者联系方式和受害者ID等信息。目前该勒索病毒无解密工具。

      1. 病毒会将自身文件复制到AppData\Local目录下,若该目录不存在则复制到AppData\Roaming目录下

      2. 病毒在C:\Users\Public目录下创建文件

      文件内容包含RSA公钥和解密所需的用户ID

      3. 在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce下创建BrowserUpdateCheck自启动项,实现开机自启动

      4. 获取当前磁盘类型,该勒索病毒共支持三种磁盘类型,其中3为本地硬盘,2为软盘,4为网络磁盘

      5. 针对每个类型的磁盘创建一个子线程

      遍历磁盘下的文件并对文件进行加密

      在加密目录下生成勒索提示信息“HOW_TO_BACK_FILES.txt”

      加密后的文件后缀为.Snake4444

      6. 在tmp目录下生成.bat脚本文件

      bat脚本内容如下,用于清除文件的卷影副本和rdp远程连接记录

      7. 病毒执行完成后会运行%COMSPEC% /c del filename > nul,将自身删除


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 4
支持
分享
最新回复 (3)
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
请问exe文件在哪下啊
2020-6-11 21:01
0
雪    币: 128
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
密钥不上传到网络? 在本地保存那不是加密的文件很容易被解密
还有写注册表启动项的时候,360就会拦截了
2020-6-17 18:56
0
雪    币: 4120
活跃值: (5822)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
4
好吧,这也能精。
2022-4-29 10:01
0
游客
登录 | 注册 方可回帖
返回
//