Globelmposter4.0最新变种,2018年最后一发!

一、样本简介

Globelmposter家族首次出现在2017年5月份,2018年2月全国各大医院受Globelmposter2.0勒索病毒攻击,导致医院系统被加密,严重影响了医院的正常业务,此勒索病毒在今年8月份变种出Globelmposter3.0版本,导致全国多家法院等政企事业单位被勒索加密。

此次,在2018年12月份,深信服EDR安全团队又第一时间跟踪发现一例新的Globelmposter勒索病毒变种,加密后缀”.fuck”。

Globelmposter勒索病毒今年的安全威胁热度一直居高不下,攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化,Globelmposter2.0后缀:TECHNO、DOC、CHAK、FREEMAN、TRUE,ALC0、ALC02、ALC03、RESERVE等。Globelmposter3.0变种后缀为以*4444结尾,Globelmposter3.0家族的变种,采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,文件被加密后会被加上Ox4444、China4444、Help4444、Rat4444 、Tiger4444 、Rabbit4444 、Dragon4444 、Snake4444 、Horse4444、Goat4444 、Monkey4444 、Rooster4444、Dog4444等后缀。在被加密的目录下会生成一个名为“HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。

深信服EDR安全团队一直持续关注并跟踪此勒索病毒家族,多次发布此勒索病毒相应的预警报告,如下:

Globelmposter勒索样本分析报告

https://mp.weixin.qq.com/s/iy9bGvS8ls2eBM2J_gCDXA

紧急预警:Globelmposter勒索最新变种爆发,用户怒怼黑客!

https://mp.weixin.qq.com/s/Rx3QCJZ5cqWayBOwuO82lg

紧急预警:Globelmposter再爆3.0变种,大型医院已中招

https://mp.weixin.qq.com/s/nm_B04qDr6TGv-qmU5t6FQ

此次深信服EDR安全团队又第一时间跟踪发现一例新的Globelmposter勒索病毒变种,样本编译时间为2018年12月5号,可能是此勒索病毒的最新变种,如下所示:

1.png

二、详细分析

1.样本经过多层payload解密,运行后先弹出控制台窗口输出几组随机数对,并且创建窗口以混淆视听:

2.png

在创建窗体的代码中隐藏了解密payload的代码,通过virtualalloc函数申请内存,随后解密出第一层payload代码,如下所示:

3.png

第一层payload解密出第二层payload代码,如下所示:

4.png

第二层payload代码循环解密核心的PE代码,如下所示:

5.png

并将解密出来的PE文件内容替换到当前进程内存:

6.png

然后跳转到被替代的当前进程,执行加密勒索操作,如下所示:

7.png

2.样本在”HKEY_CURRENT_USER\Software\FUCK”下创建注册表项PERSONALID保存用户ID:

8.png

并设置自启动注册表项:

9.png

添加后的自启动项,如下所示:

10.png

3.进行加密之前,样本先遍历进程列表,查找并终止以下进程:

11.png

相应的进程列表,如下所示:

teamviewer、sql、google、cloud、photoshop、torrent、backup等。

4.启动cmd执行删除卷影副本的命令:

12.png

5.获取所有驱动器并判断类型:

13.png

6.遍历磁盘加密文件,跳过文件后缀为dll、htm、lnk、ini、exe、fuck、gsg的文件:

14.png

跳过”Program Files”和”Windows”目录:

15_3.png16.png

在每个目录下释放勒索信息文件”README_BACK_FILES.htm”:

17.png

相应的勒索信息超文本文件,如下所示:

18.png19.png

7.样本使用了AES+RSA的方式对文件进行加密,首先生成AES密钥:

20.png

使用RSA公钥对AES密钥进行加密:

21.png

再使用AES加密文件,并重命名文件,添加加密后缀”.fuck”:

22.png

加密之后的文件,如下所示:

23.png

8.加密完成后释放bat文件进行自删除:

24.png

三、解决方案

深信服EDR产品能有效检测及防御此类勒索病毒家族样本及其变种,如下所示:

25.png

深信服EDR安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1.不要点击来源不明的邮件附件,不从不明网站下载软件。

2.及时给主机打补丁(永恒之蓝漏洞补丁),修复相应的高危漏洞。

3.对重要的数据文件定期进行非本地备份。

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等。

5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码。

6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能。

*本文作者:千里目安全实验室,转载请注明来自FreeBuf.COM

源链接

Hacking more

...