GlobeImposter家族的勒索样本分析过程

概述

近日来,安恒安全人员频繁接到用户单位服务器受到勒索病毒攻击,其中某医疗机构出现几十台设备蓝屏和数台设备被感染。经过分析判定感染设备的勒索软件是GlobeImposter家族的新变种。变种病毒样本通常使用包含混淆的JaveScript脚本的邮件传播,加密系统文件并对用户实行支付方式的勒索。将加密文件重命名为.TRUE/.TECHNO/.CHAK/.LIN/.GOTHAM等扩展名。由于GlobeImposter家族使用的算法复杂,解密非常困难。

经过安恒APT预警平台分析定位,此次勒索病毒黑客除了使用GlobeImposter家族的新变种对服务器进行加密实现勒索外,同时黑客还持续使用WannaCry进行勒索。

事件分析

事件一过程分析

经分析发现,用户出现的勒索病毒是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命名为.TRUE/.TECHNO等扩展名。以下为对此次GlobeImposter家族的勒索样本分析过程:

首先它会解密加密排除目录和加密所使用的后缀名称:

动态进行调试时能解密这些目录,如:Windows、Microsoft等目录

接着拷贝到系统目录并设置为自启动:

接着使用CryptGenRandom随机生成的密钥对系统文件进行加密。

加密文件使用的都是一些常见加密操作,最终勒索的界面如下:

事实上,该勒索软件存在一个严重编码的问题,它设置很多的目录不加密,但是还是有遗漏,导致感染了系统启动关键文件,如感染了“Boot.ini”。

被感染的系统在重启后便会启动失败,提示文件丢失。如下图:

事件二过程分析

某市机构反馈出现多台设备出现蓝屏,经判定,用户主机受到臭名昭著的勒索病毒WannaCry蠕虫感染,安恒安全人员携带APT预警平台协助用户进行追踪溯源。迅速定位到受感染主机上的异常进程文件mssecsvc.exe和mssecsvr.exe,对其定位过程如下:

(1)APT检测到SMB远程命令执行成功的告警。

(2)通过对服务器端口445占用情况分析发现进程ID为8988和5376的两个进程持续异常活跃。

(3)对进程进行定位发现mssecsvc.exe和mssecsvr.exe蠕虫。

(4)通过APT预警平台对样本检测,其为17年5月份爆发的WannaCry蠕虫。此次就不再对这两个样本详细展开分析。

防护建议

(1)对于已经感染的系统

a、断开已经感染的主机系统的网络连接, 防止进一步扩散;

b、优先检查未感染主机的漏洞状况,做好漏洞加固工作后方可恢复网络连接。

c、已经感染终端,根据终端数据重要性决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用全新操作系统、完善操作系统补丁、安装防病毒软件并通过检查确认无相关漏洞后再恢复网络连接。

(2)对于未感染的系统

a、拔掉网线之后再开机启动;

b、做好重要文件的备份工作,备份与感染主机隔离;

c、对系统更新补丁。安装防病毒软件,开启防护策略,定期更新查杀;

d、对可疑邮件谨慎操作;

e、对GlobeImposter勒索软件变种利用RDP协议暴力破解系统密码方式实现传播,建议关闭非必要RDP;

f、关闭不必要的端口,如:445、135,139等,对3389端口可进行白名单配置,只允许白名单内的ip连接登录;

g、采用高强度的口令,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码;

h、部署安恒APT预警平台进行检测。

- END -

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180228B1G33L00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券