高危安全预警48期:GlobeImposter勒索病毒家族预警

近日,一类名为GlobeImposter勒索病毒及其变种在我国广泛传播,此次勒索病毒变种繁多,被加密后的文件扩展名也各不相同,包括.crypted!、.doc和.TRUE等。GlobeImposter勒索病毒主要是通过垃圾邮件进行传播,与以往不同的是,此次变种会通过邮件来告知受害者付款方式,勒索赎金从1到10比特币不等,安全狗根据目前掌握到的情况发布了高危预警,望用户周知。

01

病毒家族描述

大多数的文件加密病毒都使用了相同的分布活动,而恶意垃圾邮件是排在第一位的方法,许多计算机用户仍然无法区分安全和受感染的邮件,事实上,有时网络犯罪分子有能力伪造出完整的官方电子邮件。

Globelmposter家族首次发现出现在2017年5月份,这时已经有安全人员对其传播方式以及行为进行了分析。此时称为Globelmposter1.0,由于其加密技术的代码缺陷,被勒索的文件可以被EMISIsoft解密。进入到2018前后,Globelmposter从1.0迭代到2.0版本,对其加密技术的缺陷也进行了一定的弥补,以及行为也有相应的改变,同时变种也逐渐增多。

02

传播途径

邮件传播为主,其部分变种带有局域网传播功能。

03

病毒家族分析

1、Globelmposter1.0特征

该勒索病毒出现于2017年5月份,作为其他恶意代码(如下载器)下载的的文件(可能是JavaScript下载程序)进入并感染的计算机。

勒索病毒检查是否存在以下文件:

l %TEMP%\ qfjgmfgmkj.tmp

如果该文件存在,则勒索病毒会退出。如果文件不存在,勒索病毒会创建它。

当勒索病毒执行时,它会创建下列文件:

l %TEMP%\ qfjgmfgmkj.tmp

l %TEMP%\ hjkhkHUhhjp.bat

l [加密文件路径] \ how_to_back_files.html

并且通过调用vssadmin.exeDelete Shadows /All /Quiet 删除全盘所有卷影副本,使受害系统无法通过卷影副本进行系统还原。

动态加载将加密所需的dll映射进内存

C:\Windows\SysWOW64\cryptsp.dll

C:\Windows\SysWOW64\rsaenh.dll

该勒索病毒将以下字符串添加到加密文件名的末尾: .crypt

然后进行加密操作,勒索病毒加密受感染计算机上所有驱动器上的文件,并且在当前目录建立付款的html文件。

该勒索病毒然后显示赎金,要求在比特币付款解密文件。

勒索付款界面如下(大多数人通过这个界面判断):

2、Globelmposter2.0变种一特征

MD5:29D0E472D7664FF085D0ADE24C7608FC

SHA256:71173af872476c7107ae289721b46150d2d1fcc0b78bff7783b842d48fab716d

此病毒先加密所有文件之后再判断%temp%中是否有文件tmp48B4.tmp,若没有则创建tmp48B4.tmp为0字节文件,并且创建tmp48B4.tmp.bat并且执行tmp48B4.tmp.bat删除卷影副本,与上一个病毒样本行为相反。

判断传入参数不为本地回环地址之后尝试通过共享连接传播

下图为捕获的打印机服务请求以及共享连接流量

勒索付款界面如下:

3、Globelmposter2.0变种二

MD5:baa812190f678e4c3cf2d3e4eb86448a

SHA256:3aa878cb0de4083c7b9e4630c869b0c2557ddc993f1ffb83ec08faae46dec9f5

该变种的行为较为简单,直接加密文件且无网络行为,内置RSA2048硬编码加密密钥。

.black加密后缀

勒索付款界面如下:

04

检测、解密与预防

使用安全狗可以查杀该globeImpster病毒

目前市面上所有的杀毒软件、反病毒软件和专杀工具仅能用于移除病毒及其残留,尚无法解密被勒索的文档。创建卷影副本之后若是非管理员权限运行病毒,则可以通过卷影副本还原,因为删除卷影副本需要管理员权限。

另外附上国外安全研究人员提供的恢复建议以及EMSISOFT所提供的解密工具及其指南

https://www.2-spyware.com/remove-globeimposter-2-0-ransomware-virus.html(一些恢复方法)

https://decrypter.emsisoft.com/download/globeimposter(解密工具下载地址)

https://decrypter.emsisoft.com/howtos/emsisoft_howto_globeimposter.pdf(解密工具使用指南)

经过验证,上述解密工具有一定的成功率,但无法保证一定能够有效。

05

结论

该病毒家族除了通过社会工程学传播,其变种还可以通过内网共享服务传播.这是一个以垃圾邮件传播方式为主进行攻击的,对象是误点垃圾邮件的个人PC、企业员工及其企业内网。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180414B1GHQC00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券