GlobeImposter2.0再出新变种，疑似利用PsExec内网传播

近日，深信服安全团队发现了GlobeImposter2.0勒索病毒新变种，该变种疑似利用微软官网工具PsExec进行内网传播并使用了新的勒索界面。截止目前，国内已在政府单位、建筑地产等行业发现多个感染案例。

此外，我们观察到，国外用户也同时受到该变种侵害，Twitter安全研究账号GrujaRS同步发现该变种有活跃现象。

本次发现的勒索病毒正是GlobeImposter2.0家族的新变种。勒索界面如下：

该变种文件加密后缀一共有21个：

.Erenahen,.bobelectron，.ciphered，.tabufa，.saveyoudata，.saveyourdata,.hotprice8,.666decrypt666,.1ibertoned,.unlockassistant,.shelbyboom,AsabHadare,.helpinc,.Coockish,.rescuerr,.supporthelpgood,.decrypt019,.Saveyourdata,.decrypt2019,.helprobot,.telcomsupp2351,.Gamgamga

该变种使用的黑客邮箱有：

bobelectron@cock.li bobelectron@tutanota.com Erenahen@cock.li Kishemez@tutano.com

GlobeImposter家族简介

GlobeImposter是近期非常活跃的勒索家族，首次出现在2017年5月份，此后，不断出现新的版本和变种；今年七月，更有“十二主神”系列爆发，国内医疗行业深受威胁。深信服安全团队一直持续关注并跟踪此勒索病毒家族，下图是深信服跟踪GlobeImposter勒索病毒演进的时间轴：

GlobeImposter2.0最新变种详细分析

在被勒索的主机中，发现勒索时间点生成了PsExec服务以及3个脚本文件：

PsExec是微软发布的一个轻量级telnet替代工具，使用者无需手动安装客户端软件即可执行其他系统上的进程，并且可以获得与控制台应用程序相当的完全交互性。微软官方介绍了该工具的安装和使用方法，并且提醒用户该工具会被恶意软件利用。

脚本文件内容如下，其功能为结束mssqlserver以及反病毒软件：

样本分析

解密出内置rsa公钥信息，计算内置rsa公钥的sha256哈希，使用内置rsa公钥的sha256哈希作为aes密钥解密出加密文件后缀以及信息提示文件名称：

解密出文件夹白名单，后缀名白名单。详细文件夹名称如下：

Windows, Microsoft, Microsoft Help, Windows App Certification Kit, windows Defender, ESET, COMODO, Windows NT, Windows Kits, Windows Mail, Windows Media Player, Windows Multimedia Platform, Nindows Phone Kits, Windows Phone Silverlight Kits, Windows Photo Viewer, Windows Portable Devices, windows Sidebar, WindowsPowerShel1, VIDIA Corporation, Microsoft. NET, Internet Explorer, Kaspersky Lab, McAfee, Avira, spytech software, sysconfig, Avast, Dr. Web, Symantec, Symantec_Client_Security, system volume information, **G, Microsoft Shared, Common Files, Outlook Express, Movie Maker, Chrome, Mozilla Firefox, Opera, YandexBrowser, ntldr, Wsus, ProgramData

获取%localappdata%者%appdata%目录，将自身拷贝过去。添加到Software\Microsoft\Windows\CurrentVersion\RunOnce下的BrowserUpdateCheck作为启动项，其会进行检测是否已被感染：

然后其会在用户的%pulbic%或者%ALLUSERPROFILE%下创建内置rsa公钥的sha256哈希为名称的文件，其中保存着用户ID信息以及生成的rsa公钥等信息：

再对用户磁盘进行遍历，包括移动磁盘，固定磁盘以及网络磁盘(基本上是共享或者映射)然后对文件进行加密。

加密完之后会在用户temp目录下生成tmp.bat用来删除用户磁盘卷影，远程桌面连接信息，删除日志信息等：

然后创建一个cmd进程将自身删除：

解决方案：

针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施，防范该病毒家族的勒索攻击。

病毒防御

勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施：

1、及时给电脑打补丁，修复漏洞。 2、对重要的数据文件定期进行非本地备份。 3、不要点击来源不明的邮件附件，不从不明网站下载软件。 4、尽量关闭不必要的文件共享权限。 5、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。 6、如果业务上无需使用RDP的，建议关闭RDP。当出现此类事件时，推荐使用深信服防火墙，或者终端检测响应平台（EDR）的微隔离功能对3389等端口进行封堵，防止扩散！

最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作，对内网进行感知、查杀和防护。