GlobeImposter家族的勒索样本分析过程

概述

近日来，安恒安全人员频繁接到用户单位服务器受到勒索病毒攻击，其中某医疗机构出现几十台设备蓝屏和数台设备被感染。经过分析判定感染设备的勒索软件是GlobeImposter家族的新变种。变种病毒样本通常使用包含混淆的JaveScript脚本的邮件传播，加密系统文件并对用户实行支付方式的勒索。将加密文件重命名为.TRUE/.TECHNO/.CHAK/.LIN/.GOTHAM等扩展名。由于GlobeImposter家族使用的算法复杂，解密非常困难。

经过安恒APT预警平台分析定位，此次勒索病毒黑客除了使用GlobeImposter家族的新变种对服务器进行加密实现勒索外，同时黑客还持续使用WannaCry进行勒索。

事件分析

事件一过程分析

经分析发现，用户出现的勒索病毒是GlobeImposter家族的变种，该勒索病毒将加密后的文件重命名为.TRUE/.TECHNO等扩展名。以下为对此次GlobeImposter家族的勒索样本分析过程：

首先它会解密加密排除目录和加密所使用的后缀名称：

动态进行调试时能解密这些目录，如：Windows、Microsoft等目录

接着拷贝到系统目录并设置为自启动：

接着使用CryptGenRandom随机生成的密钥对系统文件进行加密。

加密文件使用的都是一些常见加密操作，最终勒索的界面如下：

事实上，该勒索软件存在一个严重编码的问题，它设置很多的目录不加密，但是还是有遗漏，导致感染了系统启动关键文件，如感染了“Boot.ini”。

被感染的系统在重启后便会启动失败，提示文件丢失。如下图：

事件二过程分析

某市机构反馈出现多台设备出现蓝屏，经判定，用户主机受到臭名昭著的勒索病毒WannaCry蠕虫感染，安恒安全人员携带APT预警平台协助用户进行追踪溯源。迅速定位到受感染主机上的异常进程文件mssecsvc.exe和mssecsvr.exe，对其定位过程如下：

（1）APT检测到SMB远程命令执行成功的告警。

（2）通过对服务器端口445占用情况分析发现进程ID为8988和5376的两个进程持续异常活跃。

（3）对进程进行定位发现mssecsvc.exe和mssecsvr.exe蠕虫。

（4）通过APT预警平台对样本检测，其为17年5月份爆发的WannaCry蠕虫。此次就不再对这两个样本详细展开分析。

防护建议

（1）对于已经感染的系统

a、断开已经感染的主机系统的网络连接， 防止进一步扩散；

b、优先检查未感染主机的漏洞状况，做好漏洞加固工作后方可恢复网络连接。

c、已经感染终端，根据终端数据重要性决定处置方式，如果重新安装系统则建议完全格式化硬盘、使用全新操作系统、完善操作系统补丁、安装防病毒软件并通过检查确认无相关漏洞后再恢复网络连接。

（2）对于未感染的系统

a、拔掉网线之后再开机启动；

b、做好重要文件的备份工作，备份与感染主机隔离；

c、对系统更新补丁。安装防病毒软件，开启防护策略，定期更新查杀；

d、对可疑邮件谨慎操作；

e、对GlobeImposter勒索软件变种利用RDP协议暴力破解系统密码方式实现传播，建议关闭非必要RDP；

f、关闭不必要的端口，如：445、135，139等，对3389端口可进行白名单配置，只允许白名单内的ip连接登录；

g、采用高强度的口令，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码；

h、部署安恒APT预警平台进行检测。

- END -