警惕GLOBEIMPOSTER勒索软件

一、概述

安天安全研究与应急处理中心(Antiy CERT)的工程师在近日接到用户反馈,其服务器被勒索软件加密。经过分析判定认为该加密服务器的勒索软件是GlobeImposter家族的新变种。

GlobeImposter家族在2017年5月份被首次发现,目前发现的样本没有内网传播功能,一般使用包含混淆的JaveScript脚本的垃圾邮件进行传播,加密用户文件并勒索比特币。此次发现的样本为GlobeImposter家族的最新变种,其加密文件使用.CHAK扩展名,取消了勒索付款的比特币钱包地址及回传信息的“洋葱”网络地址,而是通过邮件来告知受害者付款方式,使其获利更加容易方便。由于GlobeImposter家族使用了RSA2048算法加密,解密极其困难,目前该勒索软件暂无解密工具,如有人称其有解密工具,很有可能是向攻击者交付赎金以获取解密工具的行为,安天不建议也不支持采取此种方式。

经验证,安天智甲终端防御系统可对该勒索软件进行有效防御及查杀。

二、事件样本分析

2.1 样本标签

由于样本进入受害者计算机后进行了自删除操作,初始样本已经无法得到。我们根据该样本的行为特征在互联网中关联到了同一家族的其他样本,下面是该样本的详细信息:

表 2 1样本标签

2.2 样本分析

2.2.1 解密自身代码

恶意代码样本为了防止被轻易地分析,加密了大多数字符串和一部分API,运行后会在内存中动态解密,解密后可以看到样本在加密时排除的文件夹与后缀名,如图所示:

图 2 1 样本解密后的排除文件夹与后缀名

2.2.2 实现持久化

样本复制自身到%appdata%下,Windows XP系统的具体路径是“C:\Documents and Settings\Administrator\Application Data”,Windows 7系统的具体路径是“C:\Users\用户名\Appdata\Roaming”,如图所示:

图 2 2 样本复制自身到本地

接下来修改注册表,在RunOnce下增加CertificatesCheck键,键值为恶意代码在%appdata%下的路径,使其在开机时自启动,如图所示:

图 2 3 样本修改注册表以自启动

2.2.3 加密前的准备工作

样本在加密文件前会结束包含硬编码关键字的进程,包括“sql”,“outlook”,“ssms”,“postgre”,“1c”,“excel”和“word”。这是为了解除对文件的占用,为下一步加密文件做准备。

图 2 4 样本结束包含关键字的进程

2.2.4 使用RSA算法加密文件

样本使用RSA2048与RSA1024算法进行加密,首先调用CryptGenRandom随机生成一组128位的密钥对,如图所示:

图 2 5 样本随机生成RSA密钥

然后使用样本中硬编码的256位公钥加密刚刚随机生成的私钥,最后生成受害者的个人ID,如图所示:

图 2 6 样本利用硬编码密钥生成个人ID

最后利用随机生成的公钥加密排除文件夹列表以外的所有文件并将个人ID写到加密文件的末尾,如图所示:

图 2 7 样本加密磁盘文件并将个人ID添加到文件末尾

此次事件中受害者被加密的文件如图2-8所示:

图 2 8受害者被加密的文件

勒索软件在加密文件的同时创建了勒索信息文件how_to_back_files.html,要求受害者将一个加密的图片或文档发送到指定的邮箱,由于加密的文件末尾包含个人ID,攻击者可以通过个人ID及其手中的RSA私钥解出用以解密文件的私钥,这样就可以识别不同的受害者。攻击者会给出解密后的文件及解密所有文件的价格,在受害者付款后,攻击者会发送解密程序。下图为勒索信息文件内容:

图 2 9勒索信息文件

2.2.5 GlobeImposter家族使用的邮箱

根据关联信息发现在其他感染案例中,此勒索软件家族也会使用如下加密拓展名:.GOTHAM;.YAYA;.GRANNY;.SKUNK;.TRUE;.SEXY;.MAKGR;.BIG1;*.LIN;.BIIT;.THIRD;.DREAM;.freeman;.BUNNY。并且使用下列邮箱地址作为与感染者的联系邮箱:

表 2 2 GlobeImposter家族使用的邮箱

三、防护建议

3.1 预防建议

1.及时备份重要文件,且文件备份应与主机隔离; 2.及时安装更新补丁,避免一些勒索软件利用漏洞感染计算机; 3.尽量避免打开社交媒体分享等来源不明的链接,给信任网站添加书签并通过书签访问; 4.对非可信来源的邮件保持警惕,避免打开附件或点击邮件中的链接; 5.定期用反病毒软件扫描系统,如杀毒软件有启发式扫描功能,可使用该功能扫描计算机; 6.部分GlobeImposter勒索软件之前的变种利用RDP(远程桌面协议)暴力破解远端机器的密码实现传播,因此建议关闭RDP。

3.2 安天智甲有效防护

针对本次发现的GlobeImposter勒索软件变种,安天智甲终端防御系统(以下简称安天智甲)可进行有效防护与查杀:

图 3 1安天智甲告警界面

安天智甲可对GlobeImposter勒索软件进行拦截,系统重启后,文件没有被加密。

图 3 2安天智甲文档保护界面

四、小结

在过去的一年中,勒索软件可谓是一波未平,一波又起。从利用NSA网络军火的“魔窟”到破坏系统的“必加”,勒索软件的种类如潮水般增长,而其功能也在不断地变化。GlobeImposter家族并不像“魔窟”等利用漏洞渗透内网,而是通过垃圾邮件中的JavaScript脚本传播,这与前几年火热的勒索软件“Locky”如出一辙。从目前存在的一些变种上来看,GlobeImposter作者的目的是更隐蔽、方便、快速地获取利益,取消“洋葱”网络地址、取消比特币钱包地址、使用邮件告知受害者付款方式、不使用内网传播功能,这些都可以猜测出攻击者的意图。从代码的角度上来看,GlobeImposter家族使用了大量的动态解密来对抗分析,这是它与其他勒索软件最大的不同,同时其不断地更换加密文件后缀及邮箱地址,更能说明隐蔽地进行勒索获利是攻击者的主要目的。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-02-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

研究人员发现攻击4G无线上网卡和SIM卡的方法

Positive Technologies的研究者在欧洲黑客联盟(Chaos Computer Club)会议上披露了4G USB无线上网卡中存在漏洞,攻击者可...

31060
来自专栏FreeBuf

“大黄蜂”远控挖矿木马分析与溯源

事件背景: 近日,腾讯安全反病毒实验室发现了一类远控木马具有爆发的趋势。通过跟踪发现,此类木马不仅保留了远控的功能,而且随着虚拟货币价格的水涨船高,木马加入了挖...

38670
来自专栏沈唁志

整合ThinkPHP功能系列之微信企业付款至用户零钱银行卡

65240
来自专栏黑白安全

传奇黑客凯文·米特尼克找到绕过双重验证方法,务必小心钓鱼网站

双重验证(2FA)几乎是当下最靠谱的账户安全保护措施了,但传奇黑客 凯文·米特尼克 却发现了一个新的安全漏洞,通过向用户发送钓鱼登录页面,然后窃取用户名、密码和...

16630
来自专栏企鹅号快讯

黑客界在平常交流的一些专业术语介绍

每天都有人问我,黑客是什么,黑客有什么术语,或者遇到黑客,我应该怎么做,我在这里也给感兴趣的朋友普及一点小知识,黑客有很多的术语,下面我会给大家介绍黑客经常用到...

217100
来自专栏不想当开发的产品不是好测试

fiddler mock ==> AutoResponder

背景 做过测试的同学,肯定都听过fiddler的大名,抓包工具,app抓包 下载传送门(https://www.telerik.com/download/fid...

33260
来自专栏FreeBuf

革命性创新?走近“高水准”新型勒索软件Spora

勒索软件几乎每周都会增加新的“家族成员”,这类威胁的影响力不断上升。Emsisoft(奥地利的信息安全公司,主营业务有反恶意软件、互联网安全、应急响应、移动安全...

20560
来自专栏FreeBuf

基于ArduinoLeonardo板子的BadUSB攻击实战

前言 在Freebuf上许多同学已经对HID攻击谈了自己的看法,如维克斯同学的《利用Arduino快速制作Teensy BadUSB》无论从科普还是实践都给我们...

42070
来自专栏CreateAMind

汽车CAN协议hacking

作者: Eric Evenchick 翻译:看雪论坛『智能设备应用』版主:gjden

24230
来自专栏安恒信息

紧急预警 | 高危病毒“永恒之石”来袭

1. 事件 WannaCry勒索病毒余波未平,如今又出现了更变本加厉的EternalRocks(“永恒之石”)新病毒。永恒之石来势汹汹,利用了之前泄露的NSA武...

37260

扫码关注云+社区

领取腾讯云代金券