-
-
[原创]恶意样本分析学习—GlobeImposter3.0勒索病毒分析
-
发表于:
2020-6-5 16:13
6790
-
[原创]恶意样本分析学习—GlobeImposter3.0勒索病毒分析
文件名 : svhost.exe
文件大小 : 51712 字节
MD5 : C120F323C78D046C991F0EFE45F3819C
SHA1 : C6CBF8DD6DDA8388A6B5860A62091808E2B4D2BF
GlobeImposter3.0是GlobeImposter家族的变种之一,2018年8月份该勒索病毒变种出现并攻击勒索国内多家大型医院和政企事业单位,GlobeImposter3.0的加密后缀为十二生肖英文名+4444,所以GlobeImposter3.0勒索病毒又被称为"十二生肖勒索病毒"。勒索病毒采用RSA加密文件,在加密目录下会生成勒索信息提示文件HOW_TO_BACK_FILES.txt,包含攻击者联系方式和受害者ID等信息。目前该勒索病毒无解密工具。
1. 病毒会将自身文件复制到AppData\Local目录下,若该目录不存在则复制到AppData\Roaming目录下
2. 病毒在C:\Users\Public目录下创建文件
文件内容包含RSA公钥和解密所需的用户ID
3. 在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce下创建BrowserUpdateCheck自启动项,实现开机自启动
4. 获取当前磁盘类型,该勒索病毒共支持三种磁盘类型,其中3为本地硬盘,2为软盘,4为网络磁盘
5. 针对每个类型的磁盘创建一个子线程
遍历磁盘下的文件并对文件进行加密
在加密目录下生成勒索提示信息“HOW_TO_BACK_FILES.txt”
加密后的文件后缀为.Snake4444
6. 在tmp目录下生成.bat脚本文件
bat脚本内容如下,用于清除文件的卷影副本和rdp远程连接记录
7. 病毒执行完成后会运行%COMSPEC% /c del filename > nul,将自身删除
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课