吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 24384|回复: 71
收起左侧

[转载] 紧急预警:Globelmposter再爆3.0变种

  [复制链接]
skinsy 发表于 2019-3-14 10:54
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
近日,深信服安全团队发现Globelmposter勒索病毒已经更新到3.0变种,受影响的系统,数据库文件被加密破坏,病毒将加密后的文件重命名为.Ox4444扩展名,并要求用户通过邮件沟通赎金跟解密密钥等。目前国内多家大型医院中招,呈现爆发趋势。深信服紧急预警,提醒广大用户做好安全防护,警惕Globelmposter 勒索。病毒名称:Globelmposter3.0 变种病毒性质:勒索病毒影响范围:已有多家医院中招,呈现爆发趋势危害等级:高危病毒分析01. 病毒描述Globelmposter 勒索病毒今年的安全威胁热度一直居高不下。早在今年2月全国各大医院已经爆发过Globelmposter2.0勒索病毒攻击,攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化,有:.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE,.ALC0、.ALC02、.ALC03、.RESERVE等。最新Globelmposter3.0变种后缀为.Ox4444。这次爆发的样本为Globelmposter3.0家族的变种,其加密文件使用Ox4444扩展名,由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,文件被加密后会被加上Ox4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。
02. 样本分析
  • 开机自启动
病毒本体为一个win32 exe程序,病毒运行后会将病毒本体复制到%LOCALAPPDATA%或%APPDATA%目录,删除原文件并设置自启动项实现开机自启动,注册表项为HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck。
  • 加密勒索
加密对象:可移动磁盘,固定磁盘,网络磁盘三种类型的磁盘。加密方式:样本通过RSA算法进行加密,先通过CryptGenRandom随机生成一组128位密钥对,然后使用样本中的硬编码的256位公钥生成相应的私钥,最后生成受害用户的个人ID序列号。然后加密相应的文件夹目录和扩展名,并将生成的个人ID序列号写入到加密文件末尾,如下图所示:
  • 隐藏行为
通过该病毒中的Bat脚本文件能够删除:1、磁盘卷影 2、远程桌面连接信息 3、日志信息,从而达到潜伏隐藏的目的,其中的删除日志功能,由于bat中存在语法错误,所以未能删除成功。解决方案近期已有大量用户中招Globelmposter病毒,包括2.0和3.0变种。 针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。
  • 病毒检测查杀
1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。http://edr.sangfor.com.cn/tool/SfabAntiBot.zip2、深信服EDR产品及防火墙、安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。
  • 病毒防御
1. 及时给电脑打补丁,修复漏洞。2. 对重要的数据文件定期进行非本地备份。3. 更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。4. Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议),如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!5. 深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

免费评分

参与人数 38吾爱币 +32 热心值 +31 收起 理由
lchhhhhh + 1 + 1 我很赞同!
yang147 + 1 + 1 我很赞同!
GuLiGuLi + 1 我很赞同!
plutojin + 1 + 1 用心讨论,共获提升!
2453062450 + 1 + 1 谢谢@Thanks!
pojie_cat + 1 + 1 谢谢@Thanks!
pumishuo + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
1062807258wang + 1 + 1 谢谢@Thanks!
seeyou_shj + 1 + 1 热心回复!
willJ + 3 + 1 鼓励转贴优秀软件安全工具和文档!
fei8255 + 1 谢谢@Thanks!
1314920 + 1 + 1 热心回复!
bian96 + 1 谢谢@Thanks!
SKYHH + 1 谢谢@Thanks!
rainvel + 1 + 1 谢谢@Thanks!
黑龍 + 1 我很赞同!
amoon_fangClass + 1 + 1 热心回复!大佬能不能来逆向教学一波宜昌市爆出的勒索软件
laoda1228 + 1 + 1 谢谢@Thanks!
xiwang33333 + 1 + 1 我很赞同!
李54646 + 1 + 1 用心讨论,共获提升!
快乐的知更鸟 + 1 被勒索过,好痛苦啊。
sixpig + 1 我很赞同!
000002 + 1 我很赞同!
dadao815 + 1 + 1 用心讨论,共获提升!
hardness + 1 + 1 谢谢@Thanks!
ahd70 + 1 + 1 用心讨论,共获提升!
gh0st_007 + 1 谢谢@Thanks!
寒陌 + 1 我很赞同!
吾爱科学 + 1 + 1 谢谢@Thanks!
zerononet + 1 + 1 谢谢@Thanks!
GaiaDC + 1 谢谢@Thanks!
wjx1034 + 1 用心讨论,共获提升!
holyspiritbh + 1 + 1 用心讨论,共获提升!
逍遥666 + 1 + 1 用心讨论,共获提升!
xsmxsm + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
ldark + 1 + 1 谢谢@Thanks!
lookerJ + 1 热心回复!
hhgfgg + 1 + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

laoda1228 发表于 2019-3-14 21:04
2018.8月份的文章,你现在拿出来, 是不是有点那个啥。。。。。。。。

原文地址:https://www.aqniu.com/threat-alert/37779.html

免费评分

参与人数 2吾爱币 +2 热心值 +2 收起 理由
544603575 + 1 + 1 谢谢@Thanks!
dushe + 1 + 1 用心讨论,共获提升!

查看全部评分

wekabc 发表于 2019-3-14 14:09
3.0?不是5.0都出来好几个月了么,深信服现在怎么也出这些了,内网封上了445,改掉3389就差不多了。

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
liuxianjun + 1 + 1 我很赞同!

查看全部评分

紅竹 发表于 2019-3-14 11:15
khcontact 发表于 2019-3-14 11:17
3.0了吗?恩,好强大的感觉
xuejinyu 发表于 2019-3-14 11:21
厉害 非常厉害
luohongxian3 发表于 2019-3-14 11:24
不明觉厉奥,围观!
jaxsen 发表于 2019-3-14 11:25
医院这么容易中招么?
Caitingting 发表于 2019-3-14 11:26
我认识的某数据恢复公司,因为这个大爆发,已经赚欢了 \(≧▽≦)/ 严重怀疑此次更新有中国黑客参与其中。。。
Dear1996 发表于 2019-3-14 11:32
厉害厉害
6263085 发表于 2019-3-14 11:33
文章信息很强大,  希望  大神 能早日  研究出  他们的KEY 。 吾爱    大神    就辛苦你们了
liuxianjun 发表于 2019-3-14 12:02
没有内网怎么传播的么
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:28

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表