歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

勒索不斷!Globelmposter2.0最新變種再度來襲

來源:本站整理 作者:佚名 時間:2019-06-28 TAG: 我要投稿

朋友微信發來一張照片咨詢我中了哪個勒索病毒家族,如下所示:

勒索提示信息,如下所示:

此勒索病毒為Globelmposter2.0家族最新的變種,近期比較流行,多家企業感染中招……
Globelmposter勒索病毒首次出現是在2017年5月份,主要通過釣魚郵件進行傳播,2018年2月國內各大醫院爆發Globelmposter變種樣本,通過溯源分析發現此勒索病毒可能是通過RDP爆破、社會工程等方式進行傳播,此勒索病毒采用RSA2048加密算法,Globelmposter2.0使用的加密后綴列表為:
TRUE、FREEMAN、CHAK、TECHNO、DOC、ALC0、ALC02、ALC03
RESERVE等
2018年8月份此勒索病毒出現Globelmposter3.0變種樣本,再次大范圍攻擊國內多個政企事業單位,Globelmposter3.0使用了十二生肖英文名+4444的加密后綴,如下所示:
Ox4444、Snake4444、Rat4444、
Tiger4444、Rabbit4444、Dragon4444、
Horse4444、Goat4444 、Monkey4444 、
Rooster4444 、Dog4444 、Pig4444
所以Globelmposter3.0勒索病毒俗稱”十二生肖勒索病毒”
十二生肖變種之后,Globelmposter又爆發出幾個不同版本的變種,我詳細分析過此勒索病毒五六個不同變種版本,Globelmposter是現在國內最流行的勒索病毒家族之一,主要攻擊國內的各個政企事業單位……
之前Globelmposter2.0生成的勒索信息文件為how_to_back_files.html,
此次流行的Globelmposer2.0變種樣本加密主機之后,生成勒索信息文件名變為了decrypt_files.html,如下所示:


加密后的文件后綴名為{[email protected]}KSR,如下所示:

還有幾個這款Globelmposter2.0最新變種樣本的加密后綴,如下所示:
{[email protected]}ZT
{[email protected]}CMG
{[email protected]}KBK
如果你的企業感染了勒索病毒,發現加密后的文件后綴為上面這些后綴名,則可能感染了Globelmpsoter2.0勒索病毒最新的變種
勒索病毒核心技術剖析
朋友后面發來了他們捕獲到的病毒樣本,經過逆向分析發現就是此次流行的Globelmposter2.0的最新變種樣本,此勒索病毒最新變種樣本與之前分析過的Globelmposter2.0樣本主體功能代碼框架基本一致,如下所示:

將這款Globelmposter2.0最新變種樣本與之前Globelmposter2.0樣本進行代碼對比分析,如下所示:

發現此勒索病毒最新變種與之前樣本代碼相似度達到98%以上,可以認定為同一個勒索病毒家族,屬于Globelmposter2.0最新的變種家族
勒索病毒解密生成加密文件的后綴名{[email protected]}KSR,如下所示:

生成勒索信息文件名變為了decrypt_files.html,如下所示:

并在內存中解密生成用戶唯一ID字符串,如下所示:

最后使用RSA加密算法遍歷磁盤文件進行加密操作,此勒索病毒變種的其它病毒行為與之前Globelmposter2.0勒索病毒行為一致,都會拷貝自身到相應的目錄,設置自啟動注冊表項,刪除磁盤卷影,RDP連接,清理日志,以及加密完成之后進行自刪除等操作
通過大量的溯源分析,發現的此勒索病毒主要通過RDP爆破的方式攻擊相關主機,然后在被攻擊的主機內網中使用相關的黑客工具對內網中的其它機器進行傳播感染
最近幾年勒索病毒爆發,尤其是針對企業的勒索病毒攻擊越來越多,關于勒索病毒的防護,給大家分享幾個簡單的方法,通過這些方法可以有效的防御部分勒索病毒:
1、及時給電腦打補丁,修復漏洞2、謹慎打開來歷不明的郵件,點擊其中鏈接或下載附件,防止網絡掛馬和郵件附件攻擊3、盡量不要點擊office宏運行提示,避免來自office組件的病毒感染4、需要的軟件從正規(官網)途徑下載,不要用雙擊方式打開.js、.vbs、.bat等后綴名的腳本文件5、升級防病毒軟件到最新的防病毒庫,阻止已知病毒樣本的攻擊6、開啟Windows Update自動更新設置,定期對系統進行升級7、養成良好的備份習慣,對重要的數據文件定期進行非本地備份,及時使用網盤或移動硬盤備份個人重要文件8、更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃,黑客會通過相同的弱密碼攻擊其它主機9、如果業務上無需使用RDP的,建議關閉RDP,以防被黑客RDP爆破攻擊
 

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺