一、样本信息

      文件名 : svhost.exe
      文件大小 : 51712 字节
      MD5 : C120F323C78D046C991F0EFE45F3819C
      SHA1 : C6CBF8DD6DDA8388A6B5860A62091808E2B4D2BF

二、病毒介绍

       GlobeImposter3.0是GlobeImposter家族的变种之一，2018年8月份该勒索病毒变种出现并攻击勒索国内多家大型医院和政企事业单位，GlobeImposter3.0的加密后缀为十二生肖英文名+4444，所以GlobeImposter3.0勒索病毒又被称为"十二生肖勒索病毒"。勒索病毒采用RSA加密文件，在加密目录下会生成勒索信息提示文件HOW_TO_BACK_FILES.txt，包含攻击者联系方式和受害者ID等信息。目前该勒索病毒无解密工具。

三、样本分析

      1. 病毒会将自身文件复制到AppData\Local目录下，若该目录不存在则复制到AppData\Roaming目录下

      2. 病毒在C:\Users\Public目录下创建文件

      文件内容包含RSA公钥和解密所需的用户ID

      3. 在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce下创建BrowserUpdateCheck自启动项，实现开机自启动

      4. 获取当前磁盘类型，该勒索病毒共支持三种磁盘类型，其中3为本地硬盘，2为软盘，4为网络磁盘

      5. 针对每个类型的磁盘创建一个子线程

      遍历磁盘下的文件并对文件进行加密

      在加密目录下生成勒索提示信息“HOW_TO_BACK_FILES.txt”

      加密后的文件后缀为.Snake4444

      6. 在tmp目录下生成.bat脚本文件

      bat脚本内容如下，用于清除文件的卷影副本和rdp远程连接记录

      7. 病毒执行完成后会运行%COMSPEC% /c del filename > nul，将自身删除

四、安全建议

      1. 勒索病毒常伪装为钓鱼邮件和常用软件，避免下载和运行可疑文件。
      2. 及时更新系统补丁，防止攻击者通过进行漏洞攻击。
      3. 不要使用弱口令密码，防止攻击者进行暴力破解。
      4. 关闭不必要的，如139、445、3389等高危端口。
      5. 安装主机防护软件并及时更新病毒库。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课