吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 15482|回复: 23
收起左侧

[转载] Globelmposter4.0最新变种

  [复制链接]
sxwa059587 发表于 2019-3-15 08:36
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 sxwa059587 于 2019-3-18 10:46 编辑

Globelmposter家族首次出现在2017年5月份,2018年2月全国各大医院受Globelmposter2.0勒索病毒攻击,导致医院系统被加密,严重影响了医院的正常业务,此勒索病毒在今年8月份变种出Globelmposter3.0版本,导致全国多家法院等政企事业单位被勒索加密。
此次,在2018年12月份,深信服EDR安全团队又第一时间跟踪发现一例新的Globelmposter勒索病毒变种,加密后缀”.fuck”。
Globelmposter勒索病毒今年的安全威胁热度一直居高不下,攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化,Globelmposter2.0后缀:TECHNO、DOC、CHAK、FREEMAN、TRUE,ALC0、ALC02、ALC03、RESERVE等。Globelmposter3.0变种后缀为以*4444结尾,Globelmposter3.0家族的变种,采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,文件被加密后会被加上Ox4444、China4444、Help4444、Rat4444 、Tiger4444 、Rabbit4444 、Dragon4444 、Snake4444 、Horse4444、Goat4444 、Monkey4444 、Rooster4444、Dog4444等后缀。在被加密的目录下会生成一个名为“HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。
深信服EDR安全团队一直持续关注并跟踪此勒索病毒家族,多次发布此勒索病毒相应的预警报告,如下:
Globelmposter勒索样本分析报告
https://mp.weixin.qq.com/s/iy9bGvS8ls2eBM2J_gCDXA
紧急预警:Globelmposter勒索最新变种爆发,用户怒怼黑客!
https://mp.weixin.qq.com/s/Rx3QCJZ5cqWayBOwuO82lg
紧急预警:Globelmposter再爆3.0变种,大型医院已中招
https://mp.weixin.qq.com/s/nm_B04qDr6TGv-qmU5t6FQ

此次深信服EDR安全团队又第一时间跟踪发现一例新的Globelmposter勒索病毒变种,样本编译时间为2018年12月5号,可能是此勒索病毒的最新变种,如下所示:


1.jpg





1.样本经过多层payload解密,运行后先弹出控制台窗口输出几组随机数对,并且创建窗口以混淆视听:



2.jpg



在创建窗体的代码中隐藏了解密payload的代码,通过virtualalloc函数申请内存,随后解密出第一层payload代码,如下所示:

3.jpg


第一层payload解密出第二层payload代码,如下所示:

4.jpg


第二层payload代码循环解密核心的PE代码,如下所示:

5.jpg


并将解密出来的PE文件内容替换到当前进程内存:

6.jpg


然后跳转到被替代的当前进程,执行加密勒索操作,如下所示:

7.jpg


2.样本在”HKEY_CURRENT_USER\Software\FUCK”下创建注册表项PERSONALID保存用户ID:

8.jpg


并设置自启动注册表项:

9.jpg


添加后的自启动项,如下所示:

10.jpg


3.进行加密之前,样本先遍历进程列表,查找并终止以下进程:

11.jpg


相应的进程列表,如下所示:

teamviewer、sql、google、cloud、photoshop、torrent、backup等。

4.启动cmd执行删除卷影副本的命令:

12.jpg


5.获取所有驱动器并判断类型:

13.jpg


6.遍历磁盘加密文件,跳过文件后缀为dll、htm、lnk、ini、exe、fuck、gsg的文件:

14.jpg


跳过”Program Files”和”Windows”目录:

15.jpg

16.png


在每个目录下释放勒索信息文件”README_BACK_FILES.htm”:

17.jpg


相应的勒索信息超文本文件,如下所示:

18.jpg

19.jpg


7.样本使用了AES+RSA的方式对文件进行加密,首先生成AES密钥:

20.jpg


使用RSA公钥对AES密钥进行加密:

21.jpg


再使用AES加密文件,并重命名文件,添加加密后缀”.fuck”:

22.jpg


加密之后的文件,如下所示:

23.jpg


8.加密完成后释放bat文件进行自删除:

24.jpg


深信服EDR产品能有效检测及防御此类勒索病毒家族样本及其变种,如下所示:

25_副本_副本.jpg


再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1.不要点击来源不明的邮件附件,不从不明网站下载软件。

2.及时给主机打补丁(永恒之蓝漏洞补丁),修复相应的高危漏洞。

3.对重要的数据文件定期进行非本地备份。

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等。

5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码。

6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能。

免费评分

参与人数 9吾爱币 +10 热心值 +6 收起 理由
jianghan + 1 热心回复!
willJ + 3 + 1 鼓励转贴优秀软件安全工具和文档!
Yancy-Lan + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
niflheimr + 1 + 1 用心讨论,共获提升!
152a + 1 + 1 热心回复!
Thending + 1 热心回复!
owninc + 1 + 1 热心回复!
xx86373753 + 1 用心讨论,共获提升!
y123y45 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| sxwa059587 发表于 2019-3-17 17:59

360安全卫士从2017年下半年开始追踪Globelmposter家族了,360安全卫士会从弱密码自动排查,远程登录保护,漏洞入侵防护,文档保护等多维度进行全面防护,抵御病毒攻击。
 楼主| sxwa059587 发表于 2019-3-18 08:57
willJ 发表于 2019-3-18 08:54
转载你也好好编辑下你的排版还有图片,看起来会更美观。

受教了,发帖次数不多,还在学习摸索中。
ykcdc 发表于 2019-3-15 12:49
xiaoyangde09 发表于 2019-3-15 15:23
多谢共享
luohongxian3 发表于 2019-3-15 17:16
谢谢分享奥~~
TaoR 发表于 2019-3-15 20:45
感谢楼主!!!!
极客3C 发表于 2019-3-15 21:37
360能查杀吗?
terax24 发表于 2019-3-15 22:32
谢谢分享,楼主
chunjiangxiyu 发表于 2019-3-15 23:31
谢谢,已经关闭了上述端口,还是很慌
young24 发表于 2019-3-16 10:17
感谢分享
zjjwly2013 发表于 2019-3-16 11:52
谢谢分享,学习了,楼主辛苦了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:28

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表