近日,一类名为GlobeImposter勒索病毒及其变种在我国广泛传播,此次勒索病毒变种繁多,被加密后的文件扩展名也各不相同,包括.crypted!、.doc和.TRUE等。GlobeImposter勒索病毒主要是通过垃圾邮件进行传播,与以往不同的是,此次变种会通过邮件来告知受害者付款方式,勒索赎金从1到10比特币不等,安全狗根据目前掌握到的情况发布了高危预警,望用户周知。
01
病毒家族描述
大多数的文件加密病毒都使用了相同的分布活动,而恶意垃圾邮件是排在第一位的方法,许多计算机用户仍然无法区分安全和受感染的邮件,事实上,有时网络犯罪分子有能力伪造出完整的官方电子邮件。
Globelmposter家族首次发现出现在2017年5月份,这时已经有安全人员对其传播方式以及行为进行了分析。此时称为Globelmposter1.0,由于其加密技术的代码缺陷,被勒索的文件可以被EMISIsoft解密。进入到2018前后,Globelmposter从1.0迭代到2.0版本,对其加密技术的缺陷也进行了一定的弥补,以及行为也有相应的改变,同时变种也逐渐增多。
02
传播途径
邮件传播为主,其部分变种带有局域网传播功能。
03
病毒家族分析
1、Globelmposter1.0特征
该勒索病毒出现于2017年5月份,作为其他恶意代码(如下载器)下载的的文件(可能是JavaScript下载程序)进入并感染的计算机。
勒索病毒检查是否存在以下文件:
l %TEMP%\ qfjgmfgmkj.tmp
如果该文件存在,则勒索病毒会退出。如果文件不存在,勒索病毒会创建它。
当勒索病毒执行时,它会创建下列文件:
l %TEMP%\ qfjgmfgmkj.tmp
l %TEMP%\ hjkhkHUhhjp.bat
l [加密文件路径] \ how_to_back_files.html
并且通过调用vssadmin.exeDelete Shadows /All /Quiet 删除全盘所有卷影副本,使受害系统无法通过卷影副本进行系统还原。
动态加载将加密所需的dll映射进内存
C:\Windows\SysWOW64\cryptsp.dll
C:\Windows\SysWOW64\rsaenh.dll
该勒索病毒将以下字符串添加到加密文件名的末尾: .crypt
然后进行加密操作,勒索病毒加密受感染计算机上所有驱动器上的文件,并且在当前目录建立付款的html文件。
该勒索病毒然后显示赎金,要求在比特币付款解密文件。
勒索付款界面如下(大多数人通过这个界面判断):
2、Globelmposter2.0变种一特征
MD5:29D0E472D7664FF085D0ADE24C7608FC
SHA256:71173af872476c7107ae289721b46150d2d1fcc0b78bff7783b842d48fab716d
此病毒先加密所有文件之后再判断%temp%中是否有文件tmp48B4.tmp,若没有则创建tmp48B4.tmp为0字节文件,并且创建tmp48B4.tmp.bat并且执行tmp48B4.tmp.bat删除卷影副本,与上一个病毒样本行为相反。
判断传入参数不为本地回环地址之后尝试通过共享连接传播
下图为捕获的打印机服务请求以及共享连接流量
勒索付款界面如下:
3、Globelmposter2.0变种二
MD5:baa812190f678e4c3cf2d3e4eb86448a
SHA256:3aa878cb0de4083c7b9e4630c869b0c2557ddc993f1ffb83ec08faae46dec9f5
该变种的行为较为简单,直接加密文件且无网络行为,内置RSA2048硬编码加密密钥。
.black加密后缀
勒索付款界面如下:
04
检测、解密与预防
使用安全狗可以查杀该globeImpster病毒
目前市面上所有的杀毒软件、反病毒软件和专杀工具仅能用于移除病毒及其残留,尚无法解密被勒索的文档。创建卷影副本之后若是非管理员权限运行病毒,则可以通过卷影副本还原,因为删除卷影副本需要管理员权限。
另外附上国外安全研究人员提供的恢复建议以及EMSISOFT所提供的解密工具及其指南
https://www.2-spyware.com/remove-globeimposter-2-0-ransomware-virus.html(一些恢复方法)
https://decrypter.emsisoft.com/download/globeimposter(解密工具下载地址)
https://decrypter.emsisoft.com/howtos/emsisoft_howto_globeimposter.pdf(解密工具使用指南)
经过验证,上述解密工具有一定的成功率,但无法保证一定能够有效。
05
结论
该病毒家族除了通过社会工程学传播,其变种还可以通过内网共享服务传播.这是一个以垃圾邮件传播方式为主进行攻击的,对象是误点垃圾邮件的个人PC、企业员工及其企业内网。
领取专属 10元无门槛券
私享最新 技术干货