网站 › 『病毒分析区』 › 【原创】最近流行的GlobeImposter家族，勒索病毒分析

帛青赤 发表于 2019-12-27 01:01

【原创】最近流行的GlobeImposter家族，勒索病毒分析

本帖最后由 帛青赤 于 2020-1-4 12:20 编辑


背景介绍

[*]自2018年8月21日起，多地发生GlobeImposter勒索病毒事件，此次攻击目标主要是开始远程桌面服务的服务器，攻击者通过暴力破解服务器密码，对内网服务器发起扫描并人工投放勒索病毒，导致文件被加密。不断出现新的版本和变种，今年七月，“十二主神”系列爆发，国内多个行业深受威胁。时至今日，暂无解密工具。
[*]

VirusTotal

[*]上传到VirusTotal检测一下，大部分引擎都标注出这是 GlobeImposter家族的勒索病毒。


样本基本信息


沙箱动态检测

[*] 发现有自启动、以及遍历加密文件的操作



[*]根据链接器版本猜测是 vs2017写的程序


感染迹象





详细分析

[*]首先申请空间，获取自身路径，拼接路径 "C:\Users\15pb-win7\Desktop\勒索病毒样本Ransom.Globelmposter.x\ids.txt"



[*]- 生成字符串 `DF7ADA61E0284DDD4F1E`



[*]把字符串 `Aphrodite666`和字符串`HOW TO BACK YOUR FILES.txt`,以及获取的计算机名称，和字符串 `local`进行拼接。





[*]大概是生成密钥




[*]将上段生成的密钥，追加到勒索文本后，从这得知生成的是用户个人ID



[*]提升权限





[*]获取所有用户配置文件（`GetEnvironmentVariableW(allusersprofile)`）返回值为C:\ProgramData，创建` C:\ProgramData\local `目录



- 在目录` C:\ProgramData\local\ `下 创建文件`.DF7ADA61E0284DDD4F1E`，写入已下数据（内容暂时不知道什么作用），并设置隐藏。





[*]打开 Homegroup注册表项，并设置`DisableHomeGroup`的值为1 .作用是禁用家庭组



[*]利用注册表，禁用 ·WindowsDefender·以及相应的实时监控保护等。







[*]打开注册表键`RunOnce`（只会运行一次）,创建名为 ` "WindowsUpdateCheck"`的启动项，混淆成Windows更新。路径为样本所在路径。







[*]使用cmd执行bat脚本，大概执行了删除磁盘卷影，停止一些数据库的服务，停止报告服务器之类的操作



[*]获取驱动器卷的名称（GUID），和驱动器盘符。




[*]会给每个磁盘创建线程
[*]每个盘符都 生成用户ID,长度 417h,追加到勒索文本后





[*]又创建线程，作用是遍历磁盘，加密文件。



[*]在各个盘符根目录下创建文件` ".DF7ADA61E0284DDD4F1E"`




[*]遍历文件如果不是下列文件



[*]然后比较其后缀不为 `dll`、`lnk`、`ini`、`.sys`的话





[*]打开文件获取文件句柄，创建文件映射对象，然后进行加密。







[*]在内存中加密完成后，停止文件映射，此时已经加密完成。





[*]加密完拼接 文件名与`Aphrodite666`后缀，然后更改名称。



[*]然后在自己路径下创建了一个`ids.txt`文件，查看其内容应该是保存了一些调试信息和本机生成用户ID。







[*]枚举当前网络中所有的网络资源



[*] 删除自己创建的注册表启动项 `"WindowsUpdateCheck"`



[*]再次使用cmd 执行 bat脚本，大致也是删除卷影，删除日志等操作




[*]删除自身


防范措施

[*]安装杀毒软件，保持监控开启。
[*]不主动点击莫名邮件以及陌生exe。
[*]及时更新系统，关闭不必要的文件共享，以及端口




一些问题
对病毒密钥的使用生成以及加密解密部分没有做具体分析，因为暂时没有什么好的思路，有很多解密的字符不知道他的具体用处，只知道勒索病毒的流程一般是利用他的RSA公钥，去加密用户电脑生成的密钥。

帛青赤 发表于 2019-12-29 16:54

lcxmap 发表于 2019-12-29 14:46
冒昧想问可否提供样本，想照着文章自己做一次看看

因为没有 virustotal 的帐号，刚刚去 any.run 和 hybr ...

别忘了虚拟机下跑
链接：https://pan.baidu.com/s/1OfyW8uqi7CkgQANxpPsfvQ
提取码：r5ca
复制这段内容后打开百度网盘手机App，操作更方便哦

diyikuai 发表于 2019-12-27 07:04

分析很到位呀！

月下独酌 发表于 2019-12-27 08:55

像大佬致敬。想学习，但是毫无头绪

流浪星空 发表于 2019-12-27 09:25

我客户公司中勒索病毒，重装系统都不行，数据全丢

帛青赤 发表于 2019-12-27 11:02

流浪星空 发表于 2019-12-27 09:25
我客户公司中勒索病毒，重装系统都不行，数据全丢

是，这个暂时没有解密工具出来

帛青赤 发表于 2019-12-27 11:07

本帖最后由 帛青赤 于 2019-12-27 11:21 编辑

发错板块了，应该发到病毒分析区的，有大佬知道咋弄吗？？

隔壁老王Orz 发表于 2019-12-28 21:44

能帮一点是一点www.nomoreransom.org

qq8945051 发表于 2019-12-29 07:48

虽然看不太懂但还是支持下。。。。

lcxmap 发表于 2019-12-29 14:46

冒昧想问可否提供样本，想照着文章自己做一次看看

因为没有 virustotal 的帐号，刚刚去 any.run 和 hybrid analysis 上面也没有看到

感谢您

XiaoDu2017 发表于 2019-12-29 16:38

像大佬致敬。想学习，但是毫无头绪

查看完整版本: 【原创】最近流行的GlobeImposter家族，勒索病毒分析