GlobeImposter勒索变种携C4H强势来袭
发布时间:2020-05-21   浏览次数:

近日,国内安全厂商截获一款新型勒索病毒,此勒索病毒加密后的文件后缀为.C4H。根据勒索样本的特征,我们判定此病毒为GlobeImposter勒索病毒家族的最新变种。Globelmposter勒索病毒首次出现在20175月,一直处于活跃阶段,最著名的是“十二主神”和“十二生肖”系列,其加密后的文件扩展名分别为“希腊十二主神 +数字”和“十二生肖+数字”的形式。其攻击方式通常是黑客通过入侵企业内网,利用RDP/SMB暴力破解在内网扩散并投放此勒索病毒,在进入内网后通过多种方法获取登录凭证并在内网横向渗透传播。


     解决方案:

       不要点击来源不明的邮件以及附件;

       不要点击来源不明的邮件中包含的链接;

       采用高强度的密码,避免使用弱口令密码,并定期更换密码;

       打开系统自动更新,并检测更新进行安装;

       尽量关闭不必要的文件共享;

       请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。



Globelmposter勒索病毒攻击方式分析


加密流程

       首先,病毒通过硬编码字符串还原出RSA公钥,私钥在病毒作者手中。接下来,病毒新生成RSA密钥对,其中的RSA私钥使用还原出的RSA公钥进行加密,然后生成personalID写入%public%目录下的一个文件中。随后病毒针对每个文件生成随机UUID,作为DES算法的密钥对文件进行加密。加密完成后,病毒会将对应的UUID使用生成的RSA公钥进行加密,连同personID一起写入对应加密文件的末尾。

攻击方式

依据截获的日志,发现攻击者在爆破计算机口令成功后,远程登陆计算机释放病毒。相关安全日志中有大量的4625登录失败的日志信息:


详细分析  

       对该文件进行检测,该文件标注为高风险,并且具备多项威胁特征,同时也列出了病毒检测名Ransom.Win32.FAKEGLOBE.JKPN

       也可以清楚地看到病毒的恶意行为,如:添加自启动、文件自删除以及修改系统中的文件等:


技术细节

       在加密逻辑未开始前,勒索病毒做了大量的准备工作,首先将自身复制到了%appdata%目录下:

       然后,添加开机启动项,对应的注册表键值如下:

       HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

       项:CertificatesCheck

       值:%appdata%\4.exe

       接下来,操作硬编码的字符串,结合新生成的RSA私钥生成PersonId,并且将PersonId存放于%public%目录下的记录文件中,确保每次加密使用的PersionId相同,同时也用来生成最后的勒索信息:

       病毒含有勒索必要的资源,并且加密存在于病毒中,病毒代码通过解密用于之后的勒索操作,此举意在逃避安全产品的静态检测:

       例如,病毒在内存中解密生成勒索信息文件:

       完成勒索前的各项准备操作后,病毒调用taskkill.exe结束下列进程,防止之后的加密逻辑中发生错误:

· sql

· outlook

· ssms

· postgre

· 1c

· excel

· word

      动态调试发现,此病毒会避免以下文件夹路径的加密操作(一般是避免操作系统损坏或者安全软件报警):

  

Windows

Microsoft

Microsoft Help

Windows App Certification   Kit

Windows Defender

ESET

COMODO

Windows NT

Windows Kits

Windows Media Player

Windows Multimedia Platform

Windows Phone Kits

Windows Phone Silverlight   Kits

Windows Portable Devices

Windows Sidebar

WindowsPowerShell

NVIDIA Corporation

Microsoft.NET

Internet Explorer

Kaspersky Lab

McAfee

Avira

spytech software

sysconfig

Avast

Symantec_Client_Security

AVG

Microsoft Shared

Movie Maker

Chrome

Opera

YandexBrowser

ntldr

Wsus

ProgramData

  

  

       同时也会避免加密以下后缀的文件:

  

.$er

.4db

.4dd

.4d

.4mp

.abs

.abx

.accdb

.accdc

.accde

.accdr

.accdt

.accdw

.accft

.adn

.adp

.aft

.ahd

.alf

.ask

.awdb

.azz

.bdb

.bib

.bnd

.bok

.btr

.cdb

.ckp

.clkw

.cma

.crd

.daconnections

.dacpac

.dad

.daf

.daschema

.db

.db-shm

.db-wa

.db2

.db3

.dbc

.dbf

.dbk

.dbs

.dbt

.dbv

.dbx

.dcb

.dct

.dcx

.dd

.df1

.dmo

.dnc

.dp1

.dqy

.dsk

.dsn

.dta

.dtsx

.dx

.eco

.ecx

.edb

.emd

.eq

.fcd

.fdb

.fic

.fid

.fi

.fm5

.fmp

.fmp12

.fmps

.fo

.fp3

.fp4

.fp5

.fp7

.fpt

.fzb

.fzv

.gdb

.gwi

.hdb

.his

.ib

.idc

.ihx

.itdb

.itw

.jtx

.kdb

.maq

.mdb

.mdbhtm

.mdf

.mdn

.mdt

.mrg

.mud

.mwb

.myd

.ndf

.ns4

.nsf

.nv2

.nyf

.oce

.odb

.oqy

.ora

.orx

.owc

.p97

.pan

.pdb

.pdm

.phm

.pnz

.pth

.pwa

.qpx

.qry

.qvd

.rdb

.rpd

.rsd

.sbf

.sdb

.sdf

.spq

.sqb

.sq

.sqlite

.sqlite3

.sqlitedb

.str

.tcx

.tdt

.te

.teacher

.trm

.udb

.usr

.v12

.vdb

.vpd

.wdb

.xdb

.xld

.xlgc

.zdb

  

  

  

  

  

       在排除完白名单后,病毒生成随机的UUID

       利用UUID生成key,并以每0x2000大小为一个单位,使用DES算法对文件进行加密。

       加密后,将加密所使用的UUID,使用之前生成的RSA公钥加密后,连同PersonID一同写入文件的末尾。整个文件加密流程采用的是源文件覆写的方式,所以不具备数据恢复软件恢复的可能性。文件数据被加密后,对文件名追加.C4H后缀。

       在勒索病毒完成加密动作后,其会在可执行批处理文件中调用“ vssadmin.exe Delete Shadows / All / Quiet”以删除所有卷影副本。在该批处理文件中,其还会清除保存在系统注册表中的远程桌面信息以及文件%UserProfile%\ Documents \ Default.rdp。其目的是防止受害者从卷影副本还原文件。

       勒索后所呈现的勒索信息如下:



  

  

来源:亚信安全病毒通告

Copyright © 2014 复旦大学信息化办公室版权所有 管理员E-mail: xxb@fudan.edu.cn