管家首页下载管家
忘了密码?

扫一扫,访问微社区

腾讯电脑管家论坛

搜索
电脑管家论坛勋章申请贴茶馆版区活动申请专用贴管家论坛活动汇总管家论坛精华帖申请管家论坛策划组成立啦!
查看: 3745|回复: 4

[病毒木马] 关于GlobeImposter家族变种勒索病毒分析报告

[复制链接]

49

主题

0

好友

140

积分

论坛总管

Rank: 9Rank: 9Rank: 9

帖子
168
彩盾
311
发表于 2018-2-25 16:46 |显示全部楼层
0x1 概述
新年刚过,就有多起勒索病毒攻击事件发生,经分析发现,此次出现的勒索病毒正是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命名为.TRUE、.TECHNO等扩展名,并通过邮件来告知受害者付款方式,使其获利更加容易方便。
0x2 IOCs
加密文件的拓展名:
image1.png
样本中使用的邮箱:
image2.png
0x3 样本执行流程
GlobeImposter家族变种较多,但近期传播的样本的恶意代码框架和流程是一致的,惟一不同的就是加密文件的后缀名和攻击者的邮箱地址信息,这里以其中一个样本为例进行分析说明(MD5:533af4fd1056779eb10bb29ae9f97752)。
1、 恶意代码样本为了防止被轻易地分析,加密了大多数字符串和一部分API,运行后会在内存中动态解密,解密后可以看到样本在加密时排除的文件夹与后缀名
2、 样本复制自身到%appdata%下,并通过在RunOnce下增加键值指向该恶意程序的BrowserUpdateCheck键,设置其开机时自启动
image3.png
3、 样本使用RSA2048与RSA1024算法进行加密。
a) 首先调用CryptGenRandom随机生成一组128位的密钥对
b) 然后使用样本中硬编码的256位公钥加密刚刚随机生成的私钥
c) 最后生成受害者的个人ID, 最后利用随机生成的公钥加密排除文件夹列表以外的所有文件并将个人ID写到加密文件的末尾
image4.png
d) 将加密后的文件重命名为后缀名为.TRUE的文件
image5.png
4、 勒索软件在加密文件的同时创建了勒索信息文件how_to_back_files.html
a) HTML头部会保存加密文件时使用的 随机个人ID
b) 然后引导受害者通过邮件与勒索者进行联系,要求受害者将一个加密的图片或文档发送到指定的邮箱进行付费解密。
image6.png

0x4 防范措施
为防止遭勒索病毒攻击,请各企业用户及时给服务器打好安全补丁,还可使用腾讯企业安全“御点”防御此类攻击。普通用户请及时安装操作系统漏洞补丁,安全备份重要数据及文件,以免遭到勒索病毒破坏。
image7.jpeg

【日常防范措施】
1、 不要点击来源不明的邮件附件
2、 及时打补丁,修复系统或第三方软件中存在的安全漏洞
3、 尽量关闭不必要的端口,如:445、135,139等,对3389端口可进行白名单配置,只允许白名单内的ip连接登陆。
4、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
5、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
6、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
7、 对重要文件和数据(数据库等数据)进行定期非本地备份
8、 在终端/服务器部署专业安全防护软件,服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

【紧急防范措施】
1、 立即组织内网检测,查找所有开放445 等服务端口的终端和服务器,一旦发现电脑中毒,立即断网。
2、 要求所有员工按照日常防范的步骤,检查和落实漏洞修复等安全措施。
3、 严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。
4、 尽快备份电脑中的重要文件和数据资料。


X_1102807        

1

主题

0

好友

3

积分

[LV.1] PCMgr Alpha

Rank: 1

帖子
2
彩盾
11
发表于 2018-2-25 23:37 |显示全部楼层
最让人奇怪的是,网上有很多人自称能解开加密文件,随便加一个人,把加密文件发过去,直接就给解开了,开口要价4万。究竟是程序存在缺陷,还是这些人就是病毒作者。
回复

使用道具 举报

whwacn        

8

主题

0

好友

785

积分

[LV.4] PCMgr Final

Rank: 2

帖子
998
彩盾
2795

光棍勋章 活跃管饭

发表于 2018-2-26 09:44 |显示全部楼层
谢谢分享  有管家 你放心
回复

使用道具 举报

0

主题

0

好友

76

积分

[LV.2] PCMgr Beta

Rank: 1

帖子
107
彩盾
227
发表于 2018-3-16 23:49 |显示全部楼层
回复

使用道具 举报

0

主题

0

好友

3

积分

禁止发言

帖子
3
彩盾
13
发表于 2018-5-4 11:39 |显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

手机版|Archiver|Tencent Inc   

GMT+8, 2018-6-19 20:10 , Processed in 0.653039 second(s), 10 queries , Memcache On.

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部