« 返回列表

1088阅读
3回复

[分享]最近流行的GlobeImposter家族，勒索病毒分析

楼层直达

级别: FLY版主

发帖: 786303

飞翔币: 211574

威望: 215717

飞扬币: 2615486

信誉值: 8

2011年生肖兔年纪念勋章

2012年生肖龙年纪念勋章

2013年生肖蛇年纪念勋章

优秀版主勋章

飞扬水王勋章

2014年生肖马年纪念勋章

2015年生肖羊年纪念勋章

2016年生肖猴年纪念勋章

2017年生肖鸡年纪念勋章

2018年生肖狗年纪念勋章

2021年生肖牛年纪念勋章

2022年生肖虎年纪念勋章

2023年生肖兔年纪念勋章

2024年生肖龙年纪念勋章

只看楼主更多操作 0 发表于: 2019-12-30

自2018年8月21日起，多地发生GlobeImposter勒索病毒事件，此次攻击目标主要是开始远程桌面服务的服务器，攻击者通过暴力破解服务器密码，对内网服务器发起扫描并人工投放勒索病毒，导致文件被加密。不断出现新的版本和变种，今年七月，“十二主神”系列爆发，国内多个行业深受威胁。时至今日，暂无解密工具。

VirusTotal

上传到VirusTotal检测一下，大部分引擎都标注出这是 GlobeImposter家族的勒索病毒。

样本基本信息

沙箱动态检测

发现有自启动、以及遍历加密文件的操作

根据链接器版本猜测是 vs2017写的程序

感染迹象

详细分析

首先申请空间，获取自身路径，拼接路径 "C:Users15pb-win7Desktop勒索病毒样本Ransom.Globelmposter.xids.txt"

- 生成字符串 `DF7ADA61E0284DDD4F1E`

把字符串 `Aphrodite666`和字符串`HOW TO BACK YOUR FILES.txt`,以及获取的计算机名称，和字符串 `local`进行拼接。

大概是生成密钥

将上段生成的密钥，追加到勒索文本后，从这得知生成的是用户个人ID

提升权限

获取所有用户配置文件（`GetEnvironmentVariableW(allusersprofile)`）返回值为C:ProgramData，创建` C:ProgramDatalocal `目录

- 在目录` C:ProgramDatalocal `下创建文件 `.DF7ADA61E0284DDD4F1E`，写入已下数据（内容暂时不知道什么作用），并设置隐藏。

打开 Homegroup注册表项，并设置`DisableHomeGroup`的值为1 .作用是禁用家庭组

利用注册表，禁用 ·WindowsDefender·以及相应的实时监控保护等。

打开注册表键`RunOnce`（只会运行一次）,创建名为 ` "WindowsUpdateCheck"`的启动项，混淆成Windows更新。路径为样本所在路径。

分享到 淘江湖新浪 QQ微博 QQ空间开心人人豆瓣网易微博百度鲜果白社会飞信

我不喜欢说话却每天说最多的话，我不喜欢笑却总笑个不停，身边的每个人都说我的生活好快乐，于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默，为什么在人群中看到个相似的背影就难过，看见秋天树木疯狂地掉叶子我就忘记了说话，看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。

级别: FLY版主

发帖: 786303

飞翔币: 211574

威望: 215717

飞扬币: 2615486

信誉值: 8

2011年生肖兔年纪念勋章

2012年生肖龙年纪念勋章

2013年生肖蛇年纪念勋章

优秀版主勋章

飞扬水王勋章

2014年生肖马年纪念勋章

2015年生肖羊年纪念勋章

2016年生肖猴年纪念勋章

2017年生肖鸡年纪念勋章

2018年生肖狗年纪念勋章

2021年生肖牛年纪念勋章

2022年生肖虎年纪念勋章

2023年生肖兔年纪念勋章

2024年生肖龙年纪念勋章

只看该作者 1 发表于: 2019-12-30

打开注册表键`RunOnce`（只会运行一次）,创建名为 ` "WindowsUpdateCheck"`的启动项，混淆成Windows更新。路径为样本所在路径。

使用cmd执行bat脚本，大概执行了删除磁盘卷影，停止一些数据库的服务，停止报告服务器之类的操作

获取驱动器卷的名称（GUID），和驱动器盘符。

会给每个磁盘创建线程
每个盘符都生成用户ID,长度 417h,追加到勒索文本后

又创建线程，作用是遍历磁盘，加密文件。

在各个盘符根目录下创建文件` ".DF7ADA61E0284DDD4F1E"`

遍历文件如果不是下列文件

然后比较其后缀不为 `dll`、`lnk`、`ini`、`.sys`的话

打开文件获取文件句柄，创建文件映射对象，然后进行加密。

在内存中加密完成后，停止文件映射，此时已经加密完成。

加密完拼接文件名与`Aphrodite666`后缀，然后更改名称。

然后在自己路径下创建了一个`ids.txt`文件，查看其内容应该是保存了一些调试信息和本机生成用户ID。

枚举当前网络中所有的网络资源

删除自己创建的注册表启动项 `"WindowsUpdateCheck"`

再次使用cmd 执行 bat脚本，大致也是删除卷影，删除日志等操作

删除自身

防范措施

安装杀毒软件，保持监控开启。
不主动点击莫名邮件以及陌生exe。
及时更新系统，关闭不必要的文件共享，以及端口

一些问题对病毒密钥的使用生成以及加密解密部分没有做具体分析，因为暂时没有什么好的思路，有很多解密的字符不知道他的具体用处，只知道勒索病毒的流程一般是利用他的RSA公钥，去加密用户电脑生成的密钥。

我不喜欢说话却每天说最多的话，我不喜欢笑却总笑个不停，身边的每个人都说我的生活好快乐，于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默，为什么在人群中看到个相似的背影就难过，看见秋天树木疯狂地掉叶子我就忘记了说话，看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。

级别: 超级版主

发帖: 883609

飞翔币: 253127

威望: 224883

飞扬币: 2704510

信誉值: 0

2012年生肖龙年纪念勋章

2013年生肖蛇年纪念勋章

优秀版主勋章

2014年生肖马年纪念勋章

2015年生肖羊年纪念勋章

2016年生肖猴年纪念勋章

2017年生肖鸡年纪念勋章

2018年生肖狗年纪念勋章

2019年生肖猪年纪念勋章

2020年生肖鼠年纪念勋章

2021年生肖牛年纪念勋章

2022年生肖虎年纪念勋章

2023年生肖兔年纪念勋章

2024年生肖龙年纪念勋章

只看该作者 2 发表于: 2019-12-31

来看一下

快乐每一天

级别: 超级版主

发帖: 883609

飞翔币: 253127

威望: 224883

飞扬币: 2704510

信誉值: 0

2012年生肖龙年纪念勋章

2013年生肖蛇年纪念勋章

优秀版主勋章

2014年生肖马年纪念勋章

2015年生肖羊年纪念勋章

2016年生肖猴年纪念勋章

2017年生肖鸡年纪念勋章

2018年生肖狗年纪念勋章

2019年生肖猪年纪念勋章

2020年生肖鼠年纪念勋章

2021年生肖牛年纪念勋章

2022年生肖虎年纪念勋章

2023年生肖兔年纪念勋章

2024年生肖龙年纪念勋章

只看该作者 3 发表于: 2019-12-31

不错，了解了

快乐每一天

« 返回列表